Лекція 6
Основні програмно-технічні заходи
(Сервіси безпеки)
1

Література

В.А. Галатенко «Основи
інформаційної безпеки»,
Електронна книга
2

Центральним для програмно-технічного рівня є поняття
сервісу безпеки.
3

Основні поняття програмно-технічного рівня інформаційної безпеки

До допоміжних відносяться послуги
безпеки (ми вже стикалися з
ними при розгляді стандартів та
специфікацій у сфері ІБ); серед
них нас насамперед будуть
цікавити універсальні,
високорівневі, що допускають
використання різними
основними та допоміжними
сервісами.
4

Основні поняття програмно-технічного рівня інформаційної безпеки

Далі ми розглянемо такі послуги:
;
керування доступом;
протоколювання та аудит;
шифрування;
контроль цілісності;
екранування;
аналіз захищеності;
забезпечення відмовостійкості;
забезпечення безпечного відновлення;
тунелювання;
керування.
5

Основні поняття програмно-технічного рівня інформаційної безпеки

Для проведення класифікації сервісів
безпеки та визначення їх місця у загальній
архітектурі заходи безпеки можна
розділити на такі види:
превентивні, що перешкоджають порушенням
ІБ;
заходи виявлення порушень;
локалізують, що звужують зону впливу
порушень;
заходи щодо виявлення порушника;
заходи відновлення режиму безпеки.
6

Основні поняття програмно-технічного рівня інформаційної безпеки

Більшість сервісів безпеки потрапляє до
число превентивних, і це, безумовно,
правильно. Аудит та контроль цілісності
здатні допомогти у виявленні порушень;
активний аудит, крім того, дозволяє
запрограмувати реакцію на порушення з
метою локалізації та/або простежування.
Спрямованість сервісів
відмовостійкості та безпечного
відновлення очевидна. Зрештою,
управління відіграє інфраструктурну роль,
обслуговуючи усі аспекти ІС.
7

Ідентифікація та автентифікація

Ідентифікація дозволяє суб'єкту
(користувачеві, процесу, що діє
від імені певного користувача,
або іншому апаратно-програмному
компоненту) назвати себе (повідомити своє
ім'я).
8

Ідентифікація та автентифікація

За допомогою аутентифікації друга
сторона переконується, що суб'єкт
справді той, за кого він себе
видає. Як синонім слова "
аутентифікація "інколи використовують
словосполучення "перевірка справжності".
9

10. Аутентифікація

Аутентифікація – процедура перевірки
автентичності, наприклад:
автентифікація користувача шляхом
порівняння введеного ним пароля з паролем,
збереженим у базі даних користувачів;
підтвердження автентичності електронного
листи шляхом перевірки цифрового підпису
листи за відкритим ключем відправника;
перевірка контрольної сумифайлу на
відповідність до суми, заявленої автором
цього файлу.
10

11. Авторизація

Авторизація-надання
певній особі чи групі осіб
прав на виконання певних
дій; а також процес перевірки
(підтвердження) даних прав при
спробу виконання цих дій.
Часто можна почути вираз, що
якась людина «авторизована» для
виконання цієї операції - це
означає, що вона має на неї право.
11

12. Авторизація

Авторизацію не слід плутати з автентифікацією:
автентифікація – це процедура перевірки
легальності користувача або даних, наприклад,
перевірки відповідності введеного
користувачем пароля до облікового запису пароля в
базі даних, або перевірка цифрового підпису
листи за ключом шифрування, або перевірка
контрольної суми файлу на відповідність
заявленою автором цього файлу.
Авторизація ж здійснює контроль доступу
легальних користувачів до ресурсів системи
після успішного проходження ними
автентифікації. Найчастіше процедури
автентифікації та авторизації поєднуються.
12

13. Ідентифікація та аутентифікація

Аутентифікація буває односторонньою
(зазвичай клієнт доводить свою
справжність серверу) та двосторонньої (
взаємної). Приклад односторонньої
аутентифікації – процедура входу
користувача у систему.
13

14. Парольна автентифікація

Головна перевага парольної
автентифікації – простота та
звичність. Паролі давно вбудовані в
операційні системи та інші послуги.
При правильному використанні паролі
можуть забезпечити прийнятний для
багатьох організацій рівень
безпеки. Тим не менш, за
сукупності характеристик їх слід
визнати найслабшим засобом
автентифікації.
14

15. Парольна автентифікація

Наступні заходи дозволяють значно підвищити
надійність парольного захисту:
накладання технічних обмежень (пароль повинен
бути не надто коротким, він повинен містити букви,
цифри, знаки пунктуації тощо);
управління терміном дії паролів, їх періодична
зміна;
обмеження доступу до файлу паролів;
обмеження кількості невдалих спроб входу до системи
(Це ускладнить застосування "методу грубої сили");
навчання користувачів;
використання програмних генераторів паролів (така
програма, ґрунтуючись на нескладних правилах, може
породжувати тільки милозвучні і, отже,
паролі, що запам'ятовуються).
15

16. Одноразові паролі

Розглянуті вище паролі можна
назвати багаторазовими; їх розкриття
дозволяє зловмиснику діяти
від імені легального користувача
Набагато сильнішим засобом,
стійким до пасивного
прослуховування мережі, є
одноразові паролі.
16

17. Сервер автентифікації Kerberos

Kerberos – це програмний продукт,
розроблений у середині 1980-х років у
Массачусетському технологічному
інституті і ряд з того часу ряд
важливих змін. Клієнтські
компоненти Kerberos присутні в
більшості сучасних
операційні системи.
17

18. Ідентифікація/автентифікація за допомогою біометричних даних

Біометрія є сукупністю
автоматизованих методів ідентифікації
та/або аутентифікації людей на основі їх
фізіологічних та поведінкових
Показників. До фізіологічних
характеристик належать особливості
відбитків пальців, сітківки та рогівки очей,
геометрія руки та обличчя тощо. До поведінкових
характеристикам відносяться динаміка підпису
(ручний), стиль роботи з клавіатурою. На стику
фізіології та поведінки знаходяться аналіз
особливостей голосу та розпізнавання мови.
18

19. Ідентифікація/автентифікація за допомогою біометричних даних

У загальному виглядіробота з біометричними
даними організована наступним
чином. Спочатку створюється і
підтримується база даних характеристик
потенційних користувачів. Для цього
біометричні характеристики
користувача знімаються, обробляються,
і результат обробки (званий
біометричним шаблоном) заноситься в
базу даних (вихідні дані, такі як
результат сканування пальця або
рогівки, зазвичай не зберігаються).
19

20. Ідентифікація/автентифікація за допомогою біометричних даних

Але головна небезпека полягає в тому, що
будь-яка "пробоїна" для біометрії
виявляється фатальною. Паролі, при всій
їх ненадійності, у крайньому випадку можна
змінити. Втрачену автентифікаційну
карту можна анулювати та завести нову.
Палець же, око чи голос змінити не можна.
Якщо біометричні дані виявляться
скомпрометовані, доведеться як мінімум
проводити суттєву модернізацію
всієї системи.
20

21.

Моделі керування доступом
21

22. Цілі та сфера застосування

Мета управління доступом це
обмеження операцій, які може
проводити легітимний користувач
(який зареєструвався в системі).
Управління доступом вказує що
конкретно користувач має право
робити в системі, а також які
операції дозволені для виконання
додатками, що виступають від
імені користувача.
22

23. Цілі та сфера застосування

Таким чином керування доступом
призначено для запобігання
дій користувача, які можуть
завдати шкоди системі, наприклад
порушити безпеку системи.
23

24. Використовувані терміни

Доступ
Доступ суб'єкта до об'єкта певних операцій.
Об'єкт
Контейнер інформації у системі
Суб'єкт
Сутність визначальна користувача під час роботи в
системі
Користувач
Людина виконує дії в системі або
додаток виступає з його імені.
24

25. Загальний опис

Управління доступом це визначення
можливості суб'єкта оперувати
над об'єктом. Загалом
описується наступною діаграмою:
25

26. Загальний опис

З традиційної точки зору, засоби управління
доступом дозволяють специфікувати та
контролювати дії, які суб'єкти
(користувачі та процеси) можуть виконувати над
об'єктами (інформацією та іншими
комп'ютерними ресурсами). У цьому розділі
йдеться про логічне управління доступом,
яке, на відміну від фізичного, реалізується
програмними засобами. Логічне
управління доступом – це основний механізм
розрахованих на багато користувачів систем, покликаний
забезпечити конфіденційність та цілісність
об'єктів і, до певної міри, їх
доступність (шляхом заборони обслуговування
неавторизованих користувачів).
26

27. Загальний опис

Завдання: забезпечити керування доступом до
виробничої інформації.
Доступ до комп'ютерних систем та
даним необхідно контролювати
виходячи з виробничих вимог
(Бізнесу).
Такий контроль має враховувати правила
поширення інформації та
розмежування доступу, прийняті в
організації.
27

28. Загальний опис

Виробничі вимоги до управління
доступом до систем необхідно визначити
та документально оформити.
Правила керування доступом та права доступу
для кожного користувача чи групи
користувачів повинні бути чітко
сформульовані у положеннях політики
управління доступом до інформації.
Користувачі та постачальники послуг повинні
знати чітко сформульовані
виробничі вимоги
задовольняють політику управління
доступом.
28

29. Загальний опис

При визначенні правил керування доступом
необхідно розглянути таке:
відмінності між правилами, які завжди повинні
бути виконані, та правилами, які є
необов'язковими чи умовними;
формулювати правила краще на передумові
"заборонено все, що явно не дозволено", ніж на
передумові "дозволено все, що явно не заборонено";
зміни в інформаційних мітках, які
ініціалізовані автоматично засобами
обробки інформації та ініціалізовані за
розсуду користувача;
зміни у правах доступу користувачу, які
ініціалізовані автоматично інформаційною
системою та ініціалізовані адміністратором;
правила, які вимагають схвалення адміністратора
або будь-кого іншого перед набуттям чинності, і ті
правила, які вимагають чийогось схвалення.
29

30. Моделі керування доступом

Повноважне керуваннядоступом
Рольове керування доступом
30

31. Виборче управління доступом

Виборче управління доступом
(англ. discretionary access control, DAC) -

об'єктам на основі списків управління
доступом або матриці доступу.
Також використовуються назви
«дискреційне керування доступом»,
«контрольоване керування доступом»
або «розмежувальне управління
доступом».
31

32. Виборче управління доступом

Кожен об'єкт системи має прив'язаного до нього суб'єкта,
званого власником. Саме власник встановлює права
доступ до об'єкта.
Система має одного виділеного суб'єкта - суперкористувача,
який має право встановлювати права володіння всім
інших суб'єктів системи.
Суб'єкт із певним правом доступу може передати це право
будь-якому іншому суб'єктуп
Права доступу суб'єкта до об'єкта системи визначаються
підставі деякого зовнішнього (стосовно системи) правила
(Властивість вибірковості).
Для опису властивостей виборчого керування доступом
застосовується модель системи на основі матриці доступу (МД,
іноді її називають матрицею контролю доступу). Така модель
отримала назву матричної.
Матриця доступу є прямокутну матрицю, в
якій об'єкту системи відповідає рядок, а суб'єкту стовпець. На перетині стовпця та рядка матриці вказується тип
(Типи) дозволеного доступу суб'єкта до об'єкта. Зазвичай виділяють
такі типи доступу суб'єкта до об'єкта як "доступ на читання",
"доступ на запис", "доступ на виконання" та ін.
32

33. Виборче управління доступом

Безліч об'єктів та типів доступу до них суб'єкта може
змінюватись відповідно до деяких правил,
існуючими у цій системі.
Наприклад, доступ суб'єкта до конкретного об'єкта може бути
дозволено тільки в певні дні(дата-залежне
умова), годинник (час-залежна умова), залежно від
інших характеристик суб'єкта (контекстно-залежне
умову) чи залежно від характеру попередньої роботи.
Такі умови на доступ до об'єктів зазвичай використовуються в
СУБД. Крім того, суб'єкт із певними повноваженнями
може передати їх іншому суб'єкту (якщо це не
суперечить правилам політики безпеки).
Рішення на доступ суб'єкта до об'єкта приймається в
відповідно до типу доступу, зазначеного у відповідній
комірці матриці доступу. Зазвичай, виборче управління
доступом реалізує принцип "що не дозволено, то
заборонено", що передбачає явний дозвіл доступу
суб'єкта до об'єкта.
33

34. Виборче управління доступом

Можливі і мішані варіанти
побудови, коли одночасно в
системі присутні як власники,
встановлюють права доступу до своїх
об'єктам, так і суперкористувач,
має можливість зміни прав
для будь-якого об'єкта та/або зміни його
власника. Саме такий змішаний
варіант реалізований у більшості
операційних систем, наприклад Unix або
Windows NT.
34

35. Повноважне керування доступом

Мандатне керування доступом (англ. Mandatory
access control, MAC) - розмежування доступу
суб'єктів до об'єктів, заснований на призначенні
мітки конфіденційності для інформації,
що міститься в об'єктах, та видачі офіційних
дозволів (допуску) суб'єктам на звернення до
інформації такого рівня конфіденційності.
Також іноді перекладається як Примусовий
контроль доступу. Це спосіб, що поєднує
захист та обмеження прав, що застосовується по
по відношенню до комп'ютерним процесам, даними
та системним пристроям та призначений для
запобігання їх небажаному
використання.
35

36. Повноважне керування доступом

всі суб'єкти та об'єкти системи повинні
бути однозначно ідентифіковані;
кожному об'єкту системи присвоєно
мітка критичності, що визначає
цінність міститься в ньому
інформації;
кожному суб'єкту системи присвоєно
рівень прозорості (security clearance),
визначальний максимальне значення
мітки критичності об'єктів, до яких
суб'єкт має доступ.
36

37. Повноважне керування доступом

У тому випадку, коли сукупність міток має однакові
значення, кажуть, що вони належать до одного
рівнем безпеки. Організація міток має
ієрархічну структуру і, таким чином, у системі
можна реалізувати ієрархічно не низхідний (за
цінності) потік інформації (наприклад, від рядових
виконавців до керівництва). Чим важливіший об'єктабо
суб'єкт, тим вища його мітка критичності. Тому
найбільш захищеними виявляються об'єкти з
найвищими значеннями мітки критичності.
Кожен суб'єкт окрім рівня прозорості має
поточне значення рівня безпеки, яке може
змінюватись від деякого мінімального значеннядо
значення його рівня прозорості. Для прийняття
рішення на дозвіл доступу здійснюється
порівняння мітки критичності об'єкта з рівнем
прозорості та поточним рівнембезпеки
суб'єкта.
37

38. Повноважне керування доступом

Результат порівняння визначається двома
правилами: простою умовою захисту (simple
security condition) та властивістю (property). У
спрощеному вигляді, вони визначають, що
інформація може передаватися тільки
"нагору", тобто суб'єкт може читати
вміст об'єкта, якщо його поточний рівень
безпеки не нижче мітки критичності
об'єкта і записувати в нього, якщо не вище.
Проста умова захисту свідчить, що будь-яку
операцію над об'єктом суб'єкт може
виконувати лише в тому випадку, якщо його рівень
прозорості не нижче мітки критичності
об'єкт.
38

39. Повноважне керування доступом

Основне призначення повноважної політики
безпеки – регулювання доступу суб'єктів
системи до об'єктів з різним рівнем критичності та
запобігання витоку інформації з верхніх рівнів
посадової ієрархії на нижні, а також
блокування можливих проникнень із нижніх
рівнів на верхні. При цьому вона функціонує на
фоні виборчої політики, надаючи її
вимогам ієрархічно впорядкований характер (у
відповідно до рівня безпеки).
Мандатна система розмежування доступу реалізована в
ОС FreeBSD Unix.
У SUSE Linux та Ubuntu є мандатна архітектура.
контролю доступу під назвою AppArmor.
39

40. Рольове керування доступом

Управління доступом на основі ролей
(Англ. Role Based Access Control,
RBAC) - розвиток політики
виборчого управління доступом,
у своїй права доступу суб'єктів
системи на об'єкти групуються з
враховуючи специфіку їх застосування,
утворюючи ролі.
40

41. Рольове керування доступом

Рольова модель керування доступом містить ряд
особливостей, які не дозволяють віднести її
ні до категорії дискреційних, ні до категорії
мандатні моделі.
Основна ідея реалізованого в даній моделі
підходу у тому, що поняття «суб'єкт»
замінюється двома новими поняттями:
користувач - людина, яка працює в системі;
роль – активно діюча у системі
абстрактна сутність, з якою пов'язаний
обмежений та логічно несуперечливий
набір повноважень, необхідних для
здійснення тих чи інших дій у системі.
41

42. Рольове керування доступом

Класичним прикладом ролі є root в Unixподібних системах - суперкористувач,
що володіє необмеженими повноваженнями.
Ця роль при необхідності може
бути задіяна різними
адміністраторами.
Основною перевагою рольової моделі
є близькість до реального життя: ролі,
що діють в АС, можуть бути збудовані в
повній відповідності до корпоративної ієрархії
і при цьому прив'язані не до конкретних
користувачам, а до посад – що, зокрема,
спрощує адміністрування в умовах
великий плин кадрів.
42

43. Рольове керування доступом

Керування доступом під час використання
рольової моделі здійснюється наступним
чином:
1. Для кожної ролі вказується набір
повноважень, що є набором
прав доступу до об'єктів АС.
2. Кожному користувачеві призначається список
доступних йому ролей.
Зазначимо, що користувач може бути
асоційований з кількома ролями –
дана можливість також значно
спрощує адміністрування складних
корпоративних АС.
43

44. Рольове керування доступом

RBAC широко використовується для
управління користувальницькими
привілеями в межах єдиної
системи або програми. перелік
таких систем включає Microsoft
Active Directory, SELinux, FreeBSD,
Solaris, СУБД Oracleі безліч
інших.
44

45. Модель Белла – Лападули

Модель Белла - Лападули - модель
контролю та управління доступом,
заснована на мандатній моделі
керування доступом. У моделі
аналізуються умови, за яких
неможливе створення
інформаційних потоків від
суб'єктів з вищим рівнем
доступу до суб'єктів з нижчим
рівнем доступу.
45

46. ​​Модель Белла – Лападули

Класична модель Белла - Лападули була описана в
1975 співробітниками компанії MITRE Corporation
Девідом Беллом та Леонардом Лападулою, до створення
моделі їх підштовхнула система безпеки для
роботи із секретними документами Уряду США.
Суть системи полягала в наступному: кожному
суб'єкту (особі, яка працює з документами) та об'єкту
(документам) надається мітка
конфіденційності, починаючи від найвищої
(«особливої ​​важливості»), закінчуючи найнижчою
(«Несекретний» чи «загальнодоступний»). Причому суб'єкт,
якому дозволено доступ тільки до об'єктів з більш
низькою міткою конфіденційності, не може отримати
доступ до об'єкта з вищою міткою
конфіденційності. Також суб'єкту забороняється
запис інформації в об'єкти з нижчим рівнем
безпеки.
46

47. Модель Харрісона-Руззо-Ульмана

Модель Харрісона-Руззо-Ульмана
є класичною дискреційною
моделлю, реалізує довільне
управління доступом суб'єктів до
об'єктам та контроль за розподіл
прав доступу у межах цієї моделі.
47

48. Модель Харрісона-Рузза-Ульмана

Модель Харрісона-РуззаУльмана
Система обробки надається у вигляді
сукупності активних сутностей суб'єктів,
формують безліч суб'єктів,
які здійснюють доступ до
користувачам пасивних сутностей
об'єктів, що формують безліч
об'єктів, що містять захисну
інформацію, та кінцевої множини прав
доступу, що характеризує повноваження на
виконання відповідних дій до
того, щоб включити в область дії
моделі відносин між суб'єктами.
Вважають, що всі суб'єкти
одночасно є об'єктами.
48

49. Модель п'ятивимірного простору безпеки Хордстона

Тепер розглянемо модель, яка називається
п'ятивимірним простором
безпеки Хартстона. У цій
моделі використовується п'ятивимірне
простір безпеки для
моделювання процесів, встановлення
повноважень та організації доступу на них
на підставі. Модель має п'ять основних
наборів:
А – встановлених повноважень; U –
користувачів; Е – операцій; R –
ресурсів; S – станів.
49

50. Модель п'ятивимірного простору безпеки Хордстона

Область безпеки буде виглядати як
декартове твір: А×U×E×R×S. Доступ
розглядається як низка запитів,
здійснюваних користувачами u для
виконання операцій e над ресурсами R в то
час, коли система перебуває у стані s.
Наприклад, запит на доступ надається
чотиривимірним кортежем q = (u, e, R, s), u U, e
E,s S,r R. Величини u і s задаються системою в
фіксованому вигляді.
Таким чином, запит на доступ – підпростір
чотиривимірної проекції простору
безпеки. Запити мають право на доступ
у тому випадку, коли вони повністю укладені в
відповідні підпростори.
50

51. Монітор безпеки звернень

Концепція монітора безпеки звернень
є досить природною формалізацією
деякого механізму, що реалізує розмежування
доступу до системи.
Монітор безпеки звернень (МПВ)
є фільтром, який дозволяє
або забороняє доступ, ґрунтуючись на
встановлених у системі правилах розмежування
доступу
51

52. Монітор безпеки звернень

Отримавши запит на доступ від суб'єкта S до об'єкта O, монітор
безпеки звернень аналізує базу правил,
відповідну встановленій у системі політиці
безпеки, або дозволяє, або забороняє доступ.
Монітор безпеки звернень задовольняє наступним
властивостям:
1. Жоден запит на доступ суб'єкта до об'єкта не повинен
виконуватися в обхід МПВ.
2. Робота МПВ має бути захищена від стороннього
втручання.
3. Подання МБО має бути досить простим для
можливості верифікації коректності його.
Незважаючи на те, що концепція монітора безпеки
звернень є абстракцією, перелічені властивості
справедливі і для програмних чи апаратних модулів,
реалізують функції монітора звернень до реальних
системах.
52

53. Моделі цілісності

Однією з цілей політики
безпеки-захист від порушення
цілісності інформації.
Найбільш відомі у цьому класі
моделей модель цілісності Біба та
модель Кларка Вільсона.
53

54. Модель Кларка-Вілсона

Модель Кларка-Вілсона з'явилася в
результаті проведеного авторами аналізу
реально застосовуваних методів забезпечення
цілісності документообігу в
комерційних компаній. На відміну від
моделей Біба та Белла-ЛаПадули, вона
спочатку орієнтована на потреби
комерційних замовників, і, на думку
авторів, більш адекватна їхнім вимогам,
ніж запропонована раніше комерційна
інтерпретація моделі цілісності на основі
грат.
54

55. Модель Кларка-Вілсона

Основні поняття моделі - це
коректність транзакцій та розмежування
функціональні обов'язки. Модель задає
правила функціонування комп'ютерної
системи та визначає дві категорії об'єктів
даних та два класи операцій над ними. Усе
дані, що містяться в системі, підрозділяються
на контрольовані та неконтрольовані
елементи даних (constrained data items - CDI та
unconstrained data items - UDI відповідно).
Цілісність перших забезпечується моделлю
Кларка Вілсона. Останні містять
інформацію, цілісність якої в рамках
даної моделі не контролюється (цім і
пояснюється вибір термінології).
55

56. Модель Кларка-Вілсона

Далі модель вводить два класи операцій
над елементами даних: процедури
контролю цілісності (integrity
verification procedures - IVP) та процедури
перетворення (transformation
procedures - ТР). Перші з них
забезпечують перевірку цілісності
контрольованих елементів даних (CDI),
другі змінюють склад безлічі всіх
CDI (наприклад, перетворюючи елементи UDI
у CDI).
56

57. Модель Кларка-Вілсона

Також модель містить дев'ять правил,
визначальних взаємин
елементів даних та процедур у
функціонування системи.
57

58.

58

59. Модель Біба

В основі моделі Біба лежать рівні
цілісності, аналогічні рівням
моделі Белла-Лападула. На відміну від
моделі Белла-Лападула читання
дозволено тепер тільки вгору (від
суб'єкта до об'єкта, рівень цінності
якого перевищує рівень суб'єкта),
а запис – лише вниз. Правила цієї
моделі є повною
протилежністю до правил моделі
Белла-Лападула.
59

60. Модель Біба

У моделі Біба розглядаються
наступні доступи суб'єктів до
об'єктам та іншим суб'єктам: доступ
суб'єкта на модифікацію об'єкта,
доступ суб'єкта на читання об'єкта,
доступ суб'єкта на виконання та
доступ суб'єкта до суб'єкта.
60

61. Модель Біба

На окремий коментар заслуговує питання,
що саме розуміється в моделі Біба під
рівнями цілісності.
Дійсно, у більшості додатків
цілісність даних сприймається як деяке
властивість, яка або зберігається, або не
зберігається – і запровадження ієрархічних
рівнів цілісності може представлятися
зайвим.
Насправді рівні цілісності у моделі
Біба варто розглядати як рівні
достовірності, а відповідні
інформаційні потоки – як передачу
інформації з більш достовірної сукупності
даних у менш достовірну та навпаки.

Програмно-технічні заходи, тобто заходи, створені задля контроль комп'ютерних сутностей - устаткування, програм та/або даних, утворюють останній і найважливіший рубіж інформаційної безпеки. Нагадаємо, що збитки завдають переважно дії легальних користувачів, стосовно яких процедурні регулятори малоефективні. Головні вороги - некомпетентність і неакуратність під час виконання службових обов'язків, і лише програмно-технічні заходи здатні їм протистояти.

Комп'ютери допомогли автоматизувати багато сфер людської діяльності. Цілком природним є бажання покласти на них і забезпечення власної безпеки. Навіть фізичний захист все частіше доручають не охоронцям, а інтегрованим комп'ютерним системам, що дозволяє одночасно відслідковувати переміщення співробітників і організацією, і інформаційним простором.

Слід, однак, враховувати, що швидкий розвиток інформаційних технологій не тільки надає нові можливості, що обороняються, а й об'єктивно ускладнює забезпечення. надійного захистуякщо спиратися виключно на заходи програмно-технічного рівня. Причин тому кілька:

підвищення швидкодії мікросхем, розвиток архітектур з високим ступенем паралелізму дозволяє методом грубої сили долати бар'єри (насамперед криптографічні), які раніше здавалися неприступними;

розвиток мереж та мережевих технологій, збільшення числа зв'язків між інформаційними системами, зростання пропускної спроможності каналів розширюють коло зловмисників, які мають технічну можливість організовувати атаки;

поява нових інформаційних сервісівведе і до утворення нових вразливих місць як "всередині" сервісів, так і на їх стиках;

конкуренція серед виробників програмного забезпечення змушує скорочувати терміни розробки, що призводить до зниження якості тестування та випуску продуктів із дефектами захисту;

парадигма постійного нарощування потужності апаратного і програмного забезпечення, що нав'язується споживачам, не дозволяє довго залишатися в рамках надійних, апробованих конфігурацій і, крім того, вступає в конфлікт з бюджетними обмеженнями, через що знижується частка асигнувань на безпеку.

Перелічені міркування вкотре наголошують на важливості комплексного підходу до інформаційної безпеки, а також на необхідність гнучкої позиції при виборі та супроводі програмно-технічних регуляторів.

p align="justify"> Центральним для програмно-технічного рівня є поняття сервісу безпеки.

Наслідуючи об'єктно-орієнтований підхід, при розгляді інформаційної системи з одиничним рівнем деталізації ми побачимо сукупність наданих нею інформаційних сервісів. Назвемо їх основними. Щоб вони могли функціонувати і мали необхідні властивості, необхідно кілька рівнів додаткових (допоміжних) сервісів - від СУБД і моніторів транзакцій до ядра операційної системи та обладнання.

До допоміжних належать сервіси безпеки (ми вже стикалися з ними під час розгляду стандартів та специфікацій в галузі ІБ); серед них нас насамперед цікавитимуть універсальні, високорівневі, що допускають використання різними основними та допоміжними сервісами. Далі ми розглянемо такі послуги:

ідентифікація та аутентифікація;

керування доступом;

протоколювання та аудит;

шифрування;

контроль цілісності;

екранування;

аналіз захищеності;

забезпечення відмовостійкості;

забезпечення безпечного відновлення;

тунелювання;

Програмно-технічні заходи, спрямовані на контроль комп'ютерного обладнання, програм і даних, що зберігаються, утворюють останній, але не менш важливий рубіж інформаційної безпеки. На цьому рівні стають очевидними не лише позитивні, а й негативні наслідкишвидкого прогресу інформаційних технологій. По перше, додаткові можливостіз'являються не тільки у фахівців з ІБ, а й у зловмисників. По-друге, інформаційні системи постійно модернізуються, перебудовуються, до них додаються недостатньо перевірені компоненти (насамперед програмні), що утруднює дотримання режиму безпеки.

p align="justify"> Центральним для програмно-технічного рівня є поняття сервісу безпеки. До таких сервісів для установ та компаній державного секторувходять:

• ідентифікація та аутентифікація;
• керування доступом;
• протоколювання та аудит;
• шифрування;
• контроль цілісності;
• екранування;
• аналіз захищеності;
• забезпечення відмовостійкості;
• забезпечення безпечного відновлення;
• тунелювання;
• керування.

Наразі підвищення рівня інформаційної безпеки держпідприємств може досягатися шляхом запровадження сучасних технологійзахисту, що відрізняються все більшою функціональністю, універсальністю та можливістю портування на будь-які платформи. У галузі технічного захисту інформаційних ресурсівможна виділити три основних напрямки, якими діють російські держпідприємства:

• захист внутрішньої мережі;
• захист виходу в Інтернет та міжнародного інформаційного обміну;
• захист взаємодії з віддаленими підрозділами.

При цьому ми пам'ятаємо, що у держструктурах та державних організаціях використовуються лише сертифіковані у ФСТЕК чи ФСБ РФ засоби забезпечення інформаційної безпеки. Для захисту внутрішніх ресурсів більшість федеральних та регіональних органів державної влади застосовують вбудовані в операційні системи механізми автентифікації та авторизації користувачів. Деякі відомства мають спеціальні сертифіковані системи захисту від несанкціонованого доступу та електронні замки, такі як Лабіринт-М, Акорд, SecretNet. Як засоби шифрування, як правило, встановлюються секретні ключі захисту інформації «КриптоПро» або давно відомі і досі популярні системисімейства «Верба».

Для захисту робочих станцій та серверів внутрішньої мережі від шкідливих програм (вірусів, черв'яків, троянських коней) абсолютна більшість державних організацій використовує антивірусне програмне забезпечення. Найчастіше це російські "Антивірус Касперського" або Dr.Web. Проте трапляються і рішення Trend Micro, Symantec, McAfee, Eset.




Розподіл мережі на сегменти з різними вимогами з інформаційної безпеки здійснюється за допомогою механізмів фільтрації MAC- та IP-адрес на активному мережеве обладнаннята механізмів VLAN. Дуже рідко застосовуються системи контролю політики безпеки, які порівнюють поточні налаштування захисних механізмів та підсистем із еталонними значеннями (Cisco, «Урядник»).

З метою захисту периметра мережі держустанови зазвичай використовують різні сертифіковані міжмережеві екрани. В основному це рішення Cisco, Aladdin та Check Point. Але зустрічаються і продукти інших виробників, зокрема Novell Border Manager, Microsoft ISA Server, ССПТ-1 та ССПТ-1М від ЦНДІ РТК, «Застава» від «Елвіс-Плюс».

Системи виявлення та запобігання атакам (так звані HIPS) поки що впроваджені в дуже небагатьох державних організаціях. Зазвичай тут трапляються рішення Symantec, S.N. Safe’n’Software та Cisco. У федеральних органах державної влади захист від спаму та зловживань в Інтернеті забезпечують різні системи моніторингу електронної пошти та веб-трафіку, наприклад eSafe Gateway, MAILsweeper, WEBsweeper та Websense.

У каналах зв'язку з віддаленими підрозділами застосовуються лише російські системи криптографічного захисту інформації та VPN – «Застава», VipNet чи «Континент».

11. Нормативно-правова база організаційного захисту. Джерела права у сфері інформаційної безпеки. Типи нормативних документів. Приклади вітчизняних та зарубіжних законодавчих документів.

У Російської Федераціїдо нормативно-правових актів у сфері інформаційної безпеки належать:

· Акти федерального законодавства:

· Міжнародні договори РФ;

· Конституція РФ;

· Закони федерального рівня (включаючи федеральні конституційні закони, кодекси);

· Укази Президента РФ;

· Постанови уряду РФ;

· Нормативні правові акти федеральних міністерств та відомств;

· Нормативні правові акти суб'єктів РФ, органів місцевого самоврядування тощо.

До нормативно-методичних документів можна віднести

1. Методичні документи державних органів Росії:

· Доктрина інформаційної безпеки РФ;

· Керівні документи ФСТЕК (Держкомісії Росії);

· Накази ФСБ;

2. Стандарти інформаційної безпеки, з яких виділяють:

· Міжнародні стандарти;

· Державні (національні) стандарти РФ;

· Методичні вказівки.

Типи нормативних документів:

· Нормативні правові акти: Закони РФ (Про безпеку), Федеральні закони (Про персональні дані, Про інформацію та інформаційні технології, Про електронно-цифровий підпис), Указ Президента РФ (Про затвердження переліку відомостей конфіденційного характеру), Постанова уряду (Про сертифікацію засобів захисту інформації, Про ліцензування);

· Нормативно-методичні та методичні документи: Доктрина, Накази ФСТЕК, Положення про сертифікацію засобів захисту вимог безпеки, Положення з атестації об'єктів, Типові положення, Керівні документи, Методики (оцінки захищеності), Нормативно-методичний документ;

· Стандарти: ГОСТ, РД, СанПін (Гігієнічні вимоги до відеодисплейних терміналів), СНіП (захист від шуму).

Приклад іноземних законодавчих документів:

Сполучені Штати Америки

На сьогоднішній день США - юрисдикція з найбільшою кількістю документів у Системі (понад 12 000 документів).

У базу входять документи із двох основних американських федеральних правових джерел: Зведення законів США (US Code, USC) та Кодексу федерального регулювання (Code of Federal Regulations, CFR). Перший є систематизований звід федерального статутного законодавства і складається з 52 розділів, присвячених регулюванню тих чи інших правових галузей чи інститутів.

До Системи включено три розділи Зводу законів США: Розділ 26 - Податковий кодекс США (US Internal Revenue Code), Розділ 12 - Банки та банківська діяльність(Banks and Banking) та Розділ 15 – Комерція та торгівля (Commerce and Trade), що включає законодавчі акти, що регулюють діяльність на ринку цінних паперів. Зведення законів перевидається Конгресом кожні 6 років і публікується Службою Зводу законів (US Code Service). На відміну від більшості загальнодоступних джерел, у системі WBL наведено як текст даних документів, а й історія всіх поправок, що вносяться до них, а також примітки і найбільш значущі судові прецеденти у цій галузі.

До Системи також включені підзаконні акти, видані федеральними органами виконавчої владиі включені до Кодексу федерального регулювання Вони публікуються Федеральному реєстрі (Federal Register) - органі Національного управління у справах архівів.

12. Розробка безпекової політики. Основні положення інформаційної безпеки. Галузь застосування. Цілі та завдання забезпечення інформаційної безпеки. Розподіл ролей та відповідальності. Загальні обов'язки.

Розробка.

Спочатку необхідно провести аудит інформаційних процесів фірми, виявити критично важливу інформацію, яку потрібно захищати. Аудит інформаційних процесів має закінчуватись визначенням переліку конфіденційної інформації підприємства, ділянок, де ця інформація звертається, допущених до неї осіб, а також наслідків втрати (спотворення) цієї інформації. Після реалізації цього етапу стає ясно, що захищати, де захищати і від кого: адже в переважній більшості інцидентів як порушники виступатимуть - мимоволі чи мимоволі - самі співробітники фірми. І з цим нічого не можна вдіяти: доведеться сприйняти як даність. Різним загрозам безпеці можна надати значення ймовірності їх реалізації. Помноживши ймовірність реалізації загрози на збитки, що завдається цією реалізацією, отримаємо ризик загрози. Після цього слід розпочинати розробку політики безпеки.

Політика безпеки – документ «верхнього» рівня, в якому мають бути зазначені:

· Особи, відповідальні за безпеку функціонування фірми;

· Повноваження та відповідальність відділів та служб щодо безпеки;

· Організація допуску нових співробітників та їх звільнення;

· Правила розмежування доступу співробітників до інформаційних ресурсів;

· Організація пропускного режиму, реєстрації співробітників та відвідувачів;

· Використання програмно-технічних засобів захисту;

· Інші вимоги загального характеру.

Витрати на забезпечення безпеки інформації повинні бути не більшими, ніж величина потенційної шкоди від її втрати. Аналіз ризиків, проведений на етапі аудиту, дозволяє ранжувати їх за величиною і захищати в першу чергу не тільки найбільш вразливі, але й найбільше цінну інформаціюділянки. Стандарт ISO 17799 дозволяє отримати кількісну оцінку комплексної безпеки:

Розробка політики безпеки передбачає здійснення низки попередніх кроків:

· Оцінку особистого (суб'єктивного) ставлення до ризиків підприємства його власників і менеджерів, відповідальних за функціонування та результативність роботи підприємства в цілому або окремі напрямки його діяльності;

· Аналіз потенційно вразливих інформаційних об'єктів;

· Виявлення загроз для значущих інформаційних об'єктів (відомостей, інформаційних систем, процесів обробки інформації) та оцінку відповідних ризиків.

При розробці політик безпеки всіх рівнів необхідно дотримуватись таких основних правил:

· Політики безпеки на нижчих рівнях повинні повністю підкорятися відповідній політиці верхнього рівня, а також чинному законодавству та вимогам державних органів.

· Текст політики безпеки повинен містити лише чіткі та однозначні формулювання, які не допускають подвійного тлумачення.

· Текст політики безпеки має бути доступним для розуміння тих співробітників, яким він адресований.

Загальний життєвий циклПолітика інформаційної безпеки включає низку основних кроків.

· Проведення попереднього дослідження стану інформаційної безпеки.

· Власне розробку безпекової політики.

· Впровадження розроблених політик безпеки.

· Аналіз дотримання вимог впровадженої політики безпеки та формулювання вимог щодо її подальшого вдосконалення (повернення до першого етапу, на новий цикл удосконалення).

Політика безпеки організації(англ. organizational security policies) - сукупність керівних принципів, правил, процедур та практичних прийоміву сфері безпеки, що регулюють управління, захист та розподіл цінної інформації.

У випадку такий набір правил є якийсь функціонал програмного продукту, який необхідний його використання у конкретній організації. Якщо підходити до політики безпеки формально, вона є набір деяких вимог до функціоналу системи захисту, закріплених у відомчих документах.

Політика безпеки залежить:

• від конкретної технології обробки інформації;
• від використовуваних технічних та програмних засобів;
• від розташування організації;

Захист великий інформаційної системинеможливо вирішити без грамотно розробленої документації з інформаційної безпеки - Політики безпеки допомагає

· Переконатися в тому, що ніщо важливе не втрачено з уваги;

· Встановити чіткі правила забезпечення безпеки.

Тільки всебічна та економічно доцільна система захисту буде ефективною, а сама інформаційна система у цьому випадку – захищеною.

У документі політики безпеки слід описати цілі та завдання інформаційної безпеки, а також цінні активи компанії, які потребують захисту. Цілями забезпечення інформаційної безпеки, як правило, є забезпечення конфіденційності, цілісності та доступності інформаційних активів, а також забезпечення безперервності ведення бізнесу компанії.

Завданнями забезпечення інформаційної безпекиє всі дії, які необхідно виконати для досягнення поставленої мети. Зокрема, необхідно вирішувати такі завдання, як аналіз та управління інформаційними ризиками, розслідування інцидентів інформаційної безпеки, розробка та впровадження планів безперервності ведення бізнесу, підвищення кваліфікації співробітників компанії в галузі інформаційної безпеки та ін.

Для забезпечення захисту від мережевих атак найбільш широко використовуваним та ефективним є встановлення:

1. Комплексні системи захисту класу ЗАСТАВА, що забезпечують захист корпоративних інформаційних систем на мережевому рівніза допомогою технологій віртуальних приватних мереж (Virtual Private Networks – VPN) та розподіленого міжмережевого екранування (МЕ, FW).

2. Широкосмуговий апаратний IP-шифратор класу " Заслон"- це вітчизняний магістральний широкосмуговий апаратний ІР-шифратор, призначений для криптографічного захисту інформації в сучасних телекомунікаційних системах.

3. Кошти комплексного захистуінформації - СЗІ ВІД НСД Secret Net 7.

Розглянемо ці продукти докладніше.

Продукти ЗАСТАВАпрацюють на різних апаратних платформах, під керуванням багатьох популярних операційних систем. Вони використовуються як у великих, територіально розподілених системах, де одночасно працюють тисячі агентів ЗАСТАВА, так і в системах малого та середнього бізнесу, де необхідний захист лише для кількох комп'ютерів. Програмний комплекс"VPN/FW "ЗАСТАВА", версія 5.3, забезпечує захист корпоративних інформаційно-обчислювальних ресурсів на мережному рівні за допомогою технологій віртуальних приватних мереж (Virtual Private Networks - VPN) та розподіленого міжмережевого екранування (МЕ).

ЗАСТАВА 5.3 забезпечує:

· Захист окремих комп'ютерів, у тому числі мобільних, від атак з мереж загального користування та Інтернет;

· Захист корпоративної інформаційної системи або її частин від зовнішніх атак;

Сертифікована ФСБ РФ версія продукту надає замовникам готове рішення, що дозволяє органічно інтегрувати продукт у будь-які інформаційні системи без необхідності отримання додаткових висновків про правильність вбудовування та забезпечує повну легітимність його використання для захисту конфіденційної інформації, включаючи персональні дані. Термін дії сертифікатів з 30 березня 2011 р. до 30 березня 2014 р.

Шифратор Заслон- Це повністю апаратне рішення. Усі криптографічні функції та мережна взаємодіяреалізовані в ньому схемотехнічними, а не програмними методами. Вибір апаратної реалізації, на відміну поширених пристроїв (криптомаршрутизаторів), що базуються на ПЕОМ загального призначення, обумовлений необхідністю подолання обмежень архітектури таких ЕОМ. Це насамперед обмеження загальної шини, до якої підключаються мережеві інтерфейсні карти. Незважаючи на високу швидкістьроботи сучасних шин PCIі PCI-X, особливості роботи мережевих шифраторів (корельовані в часі прийом і передача пакета зі зсувом на час зашифрування/розшифрування) не дозволяють використовувати всю їхню пропускну здатність.

Загалом, якщо потрібно об'єднати локальні обчислювальні мережі незахищеними каналами зв'язку, не побоюючись порушення конфіденційності даних під час передачі і не витрачаючи значних зусиль забезпечення сумісності додатків під час роботи по шифрованим каналам. Заслон виконаний у вигляді прозорого з точки зору мережі пристрою. З цієї причини в більшості випадків достатньо лише конфігурувати шифратор і включити його "в розрив" з'єднання локальної мережі, що захищається з зовнішнім каналомзв'язку.

СЗІ ВІД НСД Secret Net 7призначена для запобігання несанкціонованому доступу до робочих станцій та серверів, що працюють у гетерогенних локальних обчислювальних мережах. Система доповнює своїми захисними механізмами стандартні захисні засоби операційних систем і тим самим підвищує захищеність усієї автоматизованої інформаційної системи підприємства загалом, забезпечуючи вирішення наступних завдань:

v управління правами доступу та контроль доступу суб'єктів до захищених інформаційних, програмних та апаратних ресурсів;

v управління доступом до конфіденційної інформації, що базується на категоріях конфіденційності;

v шифрування файлів, що зберігаються на дисках;

v контроль цілісності даних;

v контроль апаратної конфігурації;

v дискреційне керування доступом до пристроїв комп'ютера;

v реєстрація та облік подій, пов'язаних з інформаційною безпекою;

v моніторинг стану автоматизованої інформаційної системи;

v рольове поділ повноважень користувачів;

v аудит дій користувачів (у тому числі адміністраторів та аудиторів);

v тимчасове блокування роботи комп'ютерів;

v затирання залишкової інформації на локальних дисках комп'ютера.

Система Secret Net 7 складається із трьох функціональних частин:

· захисні механізми, які встановлюються на всі комп'ютери автоматизованої системи (АС), що захищаються, і являють собою набір додаткових захисних засобів, що розширюють засоби безпеки ОС Windows.

· Засоби управління захисними механізмами, які забезпечують централізоване та локальне управління системою.

· засоби оперативного управління, що виконують оперативний контроль (моніторинг, керування) робочими станціями, а також централізований збір, зберігання та архівування системних журналів.

Secret Net 7 складається з трьох компонентів:

1. СЗІ Secret Net 7 – Клієнт. Встановлюється на всі комп'ютери, що захищаються. До складу цього програмного забезпечення входять такі компоненти:

· Захисні механізми- сукупність програмних і апаратних засобів, що настроюються, що забезпечують захист інформаційних ресурсів комп'ютера від несанкціонованого доступу, зловмисного або ненавмисного впливу.

· Модуль застосування групових політик.

· Агент сервера безпеки.

· Кошти локального управління - це штатні можливості операційної системи, доповнені засобами Secret Net 7 для управління роботою комп'ютера та його користувачів, а також для налаштування захисних механізмів.

2. СЗІ Secret 7 – Сервер безпеки. Включає в себе:

· Власне сервер безпеки.

· Засоби роботи з базою даних (БД).

3. СЗІ Secret Net 7 - Кошти управління. Включає в себе:

· Програму "Монітор". Ця програма встановлюється на робочому місці адміністратора оперативного управління - співробітника, уповноваженого контролювати і оперативно коригувати стан комп'ютерів, що захищаються в режимі реального часу.

У фірмі потрібно використання аналогічних технологій.

Якщо говорити про проблеми комп'ютерної безпеки, то є кілька аспектів, а саме: інформаційна безпека, безпека самого комп'ютера та організація безпечної роботи людини з комп'ютерною технікою.

ІНФОРМАЦІЙНА БЕЗПЕКА
Важливо вміти не лише працювати на комп'ютері, а й захистити ваші документи від чужих очей.
Абсолютного захисту не може. Існує така думка: встановив захист і можна ні про що не турбуватися. Повністю захищений комп'ютер - це той, який стоїть під замком у броньованій кімнаті в сейфі, не підключений до жодної мережі (навіть електричної) та вимкнений. Такий комп'ютер має абсолютний захист, проте використовувати його не можна.
Першою загрозою безпеці інформації можна вважати некомпетентність користувачів. Якщо ми говоримо про інформацію, що зберігається в комп'ютері на робочому місці, то також серйозну загрозу становлять співробітники, які чимось не задоволені, наприклад, зарплатою.
Це цікаво
У 1996 р. Федеральне бюро розслідувань спільно з Інститутом комп'ютерної безпеки США провело дослідження, результати якого свідчать про те, що майже у половині всіх відомих випадків спроби проникнення інформації в організації робилися всередині самої організації.

Одна з подібних проблем - це так звані слабкі паролі. Користувачі для кращого запам'ятовуваннявибирають паролі, що легко вгадуються. Причому, проконтролювати складність пароля неможливо. Інша проблема - нехтування вимогами безпеки. Наприклад, небезпечно використовувати неперевірене або
піратськи виготовлене програмне забезпечення. Зазвичай користувач сам «запрошує» у систему віруси та «троянських коней».
Чим ширше розвивається Інтернет, тим більше можливостейдля порушення безпеки наших комп'ютерів, навіть якщо ми і не зберігаємо в них відомості, що містять державну або комерційну таємницю. Нам загрожують хакери, що хуліганствують, розсилають віруси, щоб просто потішитися; нескінченні любителі пожити за чужий рахунок; нам загрожують наша безтурботність (ну що варто щодня запустити антивірус!) та безпринципність (як же відмовитися від дешевого піратського ПЗ, можливо, зараженого вірусами?).
За Останнім часомв Інтернеті різко збільшилася кількість вірусних, а також "шпигунських" програм типу "троянського коня" і просто крадіжок паролів неохайними користувачами.

Безпека в інформаційному середовищі
Будь-яка технологія на якомусь етапі свого розвитку приходить до того, що дотримання норм безпеки стає однією з найважливіших вимог. І найкращий захиствід нападу – не допускати нападу. Не слід забувати, що заважає роботі не система безпеки, а її відсутність.
З погляду комп'ютерної безпеки кожне підприємство має своє власне корпоративне багатство - інформаційне. Його не можна сховати, воно має активно працювати. Засоби інформаційної безпеки повинні забезпечувати зміст інформації у стані, що описується трьома категоріями вимог: доступність, цілісність та конфіденційність. Основні складові інформаційної безпеки сформульовані в Європейських умовах, прийнятих провідними країнами Європи:
доступність інформації - забезпечення готовності системи до обслуговування запитів, що до неї надходять;
цілісність інформації - забезпечення існування у неспотвореному вигляді;
конфіденційність інформації - забезпечення доступу до інформації лише авторизованого кола суб'єктів.

Класифікація засобів захисту
Класифікацію заходів захисту можна у вигляді трьох рівнів.

Законодавчий рівень.У Кримінальному кодексі РФ є глава 28. Злочини у сфері комп'ютерної інформації. Вона містить три наступні статті:
стаття 272. Неправомірний доступ до комп'ютерної інформації;
стаття 273. Створення, використання та розповсюдження шкідливих програм для ЕОМ;
стаття 274. Порушення правил експлуатації ЕОМ, системи ЕОМ чи його мережі.

Адміністративний та процедурний рівні. На адміністративному та процедурному рівнях формуються політика безпеки та комплекс процедур, що визначають дії персоналу у штатних та критичних ситуаціях. Цей рівень зафіксовано у керівних документах, випущених Держтехкомісією РФ та ФАПСІ.

Програмно-технічний рівень. До цього рівня належать програмні та апаратні засоби, які складають техніку інформаційної безпеки. До них відносяться і ідентифікація користувачів, і керування доступом, і криптографія, і екранування, і багато іншого.
І якщо законодавчий та адміністративний рівні захисту не залежать від конкретного користувачакомп'ютерної техніки, то програмно-технічний рівень захисту інформації кожен користувач може і повинен організувати на своєму комп'ютері.

Програмно-технічний рівень захисту
Не будемо розглядати складні програмно-апаратні криптографічні комплекси, що обмежують доступ до інформації за рахунок шифрів, а також програми тайнопису, які можуть «розчиняти» конфіденційні матеріали в об'ємних графічних і звукових файлах. Використання таких програм може бути виправдане лише у виняткових випадках. Звичайний користувач, Такий як ми з вами, як правило, не є професійним шифрувальником або програмістом, тому нас цікавлять «підручні» засоби захисту інформації. Розглянемо засоби захисту інформації та спробуємо оцінити їхню надійність. Адже знання слабких місцьзахисту може
уберегти нас від багатьох неприємностей.
Перше, що зазвичай робить користувач персонального комп'ютера – ставить два паролі: один пароль у налаштуваннях BIOS та інший – на заставку екрана. Захист на рівні BIOS вимагатиме введення пароля при завантаженні комп'ютера, а захист на заставці екрана перекриє доступ до інформації при проходженні певного, вами заданого часу бездіяльності комп'ютера.
Установка пароля на рівні BIOS - досить тонкий процес, що вимагає певних навичок роботи з налаштуваннями комп'ютера, тому бажано його встановлювати з колегою, яка має достатній досвід такої діяльності. Пароль на заставку екрана поставити не так складно, і може поставити сам користувач.
Після встановлення паролів можна вважати, що перший рівень захисту ви зробили, та інформаційний захистзабезпечено. Однак не зваблюйтеся: існує як мінімум три способи зруйнувати цей захист.
Перший спосіб – скористатися однією з лазівок, часто передбачених виробниками системної плати, так званим «універсальним паролем для забудькуватих людей». Звичайний користувач, якими ми є, як правило, його не знає.
Можна використовувати другий спосіб злому секретності: зніміть кожух комп'ютера, вийміть приблизно на 20...30 хв літієву батарейкуна системній платіпісля чого вставте її назад. Після цієї операції BIOS на 99% забуде всі паролі та налаштування користувача. До речі, якщо ви самі забули пароль, що досить часто трапляється на практиці, можна скористатися саме цим способом.
Третій спосіб дізнатися сторонній особі нашу захищену інформацію - вийняти з комп'ютера жорсткий дискта підключити його до іншого комп'ютера як другого пристрою. А далі без проблем можна читати та копіювати чужі секрети. За певної навичці ця процедура займає 15...20 хв.
Так що постарайтеся за вашої тривалої відсутності просто не допускати сторонніх осіб у приміщення, де знаходиться комп'ютер.

Захист жорсткого диска (вінчестера)
Будь-яку частину комп'ютерної системи можна замінити на нову, але втративши дані, записані на жорсткому диску, ви будете змушені відтворити їх заново. На це можуть піти місяці, а то й роки. Набагато простіше заздалегідь організувати захист вмісту жорсткогодиска. Починати слід із створення аварійної завантажувальної дискети. Вона
дуже нагоді, якщо з якоїсь причини не вдасться завантажити операційну систему з жорсткого диска. Власникам Windows-систем доведеться створити дискету аварійного завантаження самостійно.

Резервне копіювання даних
Інший ворог нашої інформації – збої самого комп'ютера. Навіть при найсуворішому дотриманні заходів профілактики не можна бути абсолютно застрахованим від втрати даних, що зберігаються на жорсткому диску. Рано чи пізно щось трапляється, і відновити все в колишньому вигляді можна буде тільки в тому випадку, якщо у вас є копія вмісту жорсткого диска. Логіка тут дуже проста: якщо ті самі дані зберігаються у двох різних місцях, ймовірність втратити їх значно зменшується. Тому завжди слід зберігати дані у двох примірниках, наприклад: один на вбудованому жорсткому диску, а інший на зовнішньому жорсткому диску або змінних носіях, які використовуються для резервного копіювання. Щоб визначитися зі стратегією створення резервних копій, необхідно вирішити, яким носієм ви користуватиметеся і які дані потрібно продублювати.

Підступність сміттєвого кошика
При видаленні інформації вона не зникає безвісти, а потрапляє спочатку в Кошик, якщо тільки документ не знаходився на дискеті. Це щодня рятує багатьох недбалих користувачів, які випадково видалили документ необережним натисканням клавіші , оскільки документи з Кошика можна відновлювати.
Для повного видаленняінформації з Кошика, тобто. її очищення, зробіть клацання правою кнопкоюмиші за значком Кошики на робочому столі та у контекстному меню виберіть команду Очистити кошик або виберіть у вікні Кошик команду очищення кошика.
Вважається, що після примусового очищення Кошика документи втрачаються безповоротно, але це не зовсім так. Фізичні дані з жорсткого диска нікуди не зникають і можуть бути легко відновлені спеціальними програмами аж до того моменту, поки на те місце вінчестера не буде записана інша інформація. Адже це може статися через тиждень чи місяць. Щоб бути впевненим, що ваші дані знищені назавжди, систематично проводьте дефрагментацію жорсткого
диска. Запустити процедуру дефрагментації можна через контекстне менюклікнувши правою кнопкою мишки по потрібному диску і вибравши пункт «властивості» і вкладку «Сервіс». Ця процедура може зайняти від декількох хвилин до півгодини і більше, залежно від ступеня фрагментації диска. Бажано проводити дефрагментацію не рідше одного разу на місяць, а за великої кількості операцій з видалення файлів - щотижня. Крім повного видалення даних після дефрагментації ця процедура може дещо прискорити роботу вашого комп'ютера, оскільки в результаті її застосування всі сектори диска заповнюються даними рівномірніше і головки вінчестера менше скачуть з сектора на сектор при читанні інформації.
Також підступність сміттєвого кошика полягає ще в тому, що при видаленні файлів з зовнішніх носіїві мережних дисків видалені файли можуть не потрапити в кошик, а зникнути безповоротно. Спробувати відновити такі дані, стерті з зовнішніх дисків, можна за допомогою спеціальних програмнаприклад Recuva . Майте на увазі, що робити це треба якнайшвидше - до того як ви або хтось інший запише на цей диск будь-які інші дані. Природно, що дані на мережному дискуна сервері віддалені з робочої станції можуть зникнути безповоротно набагато легше, оскільки багато людей звертаються до цього диска і записують на нього багато різної інформації. Зверніться в такому разі якнайшвидше до адміністратора мережі — тільки у нього є доступ до диска з сервера та можливість врятувати некоректно видалені дані.

Встановлення паролів на документ
Відомо, що будь-яка програма MS Office дозволяє закрити будь-який документ паролем, і багато хто успішно користується цим перевіреним засобом.
Для встановлення пароля на документ необхідно його відкрити, далі в меню Файл виберіть команду Відомості та Захистити документ.
У документації до MS Office нічого не йдеться про криптостійкість схем парольного захисту, що використовуються, є тільки фраза: «Увага! Забутий пароль відновити неможливо.
Звичайному користувачеві, який не має конкретної мети дізнатися вашу інформацію, відкрити пароль практично неможливо. Однак і фахівцю-зломщику при використанні сучасного комп'ютерана зламування пароля методом прямого перебору варіантів знадобиться приблизно один місяць. Парольний захист, що входить до комплекту багатьох архіваторів, цілком може вберегти документ від сторонніх очей. У мережі Інтернет можна знайти низку спеціальних програм «шифрування» окремих документівта цілих розділів вінчестера, проте стовідсоткової гарантії від злому паролів вони не дають. Ускладнити процес злому захисту ви можете, використовуючи досить довгі та складні паролі, що виключають ваше ім'я, прізвище та телефон. Найкраще як пароль вибирати фразу, в якій відсутня осмислена інформація про автора пароля. Скажімо, фразу типу «Залишилися від козлика ніжки та ріжки» можна вважати майже ідеальним паролем – досить довгим та безглуздим щодо автора.
Насамкінець дамо кілька коротких практичних порад щодо захисту та резервного копіювання ваших даних.

Корисні поради. Як захистити дані?
Встановіть паролі на BIOS та на екранну заставку.
Виключіть доступ сторонніх осіб до комп'ютера,
Створіть аварійний диск.
Систематично робіть резервне копіювання даних.
Регулярно очищайте Кошик із віддаленими файлами.
Встановлюйте паролі на файли з важливими даними.
Під час встановлення пароля не використовуйте ваше ім'я, прізвище, телефон.
Проводьте архівацію файлів.
Після видалення великої кількості файлів, але не рідше одного разу на місяць, робіть дефрагментацію жорсткого диска.

Говорячи про безпеку інформації, ми свідомо глибоко не торкалися проблеми комп'ютерних вірусів, і могла скластися думка, що така проблема не є актуальною. Нічого подібного! Боротьба з вірусами - це безперечно частина інформаційної безпеки, просто мимохідь говорити про таку важливу проблему неправильно. Боротьба з вірусами – це тема окремої розмови.

ЗАХИСТ ВІД КОМП'ЮТЕРНИХ ВІРУСІВ
Ви глибоко помиляєтеся, якщо вважаєте, що особисто вам вторгнення вірусів не загрожує. Комп'ютери, встановлені у вас на роботі та вдома, та й сама мережа Інтернет є справжнім розсадником потенційно небезпечних комп'ютерних інфекцій.
p align="justify"> Комп'ютерні віруси - це програми, що створюють на комп'ютері всілякі неподобства, починаючи з видачі дратівливих екранних повідомлень і закінчуючи пристроєм повного хаосу на жорсткому диску. Як правило, комп'ютер слухняний своєму господареві, але якщо ви помітили якісь дива у його поведінці, слід передусім перевірити програмне забезпечення на наявність вірусу. Деякі комп'ютерні віруси абсолютно нешкідливі, проте багато хто з них здатний завдати серйозної шкоди вашій
інформації.

Історія виникнення комп'ютерних вірусів
Виникнення комп'ютерних вірусів пов'язане з ідеєю створення програм, що самовідтворюються, і сягає корінням у п'ятдесяті роки. У 1951 р. Дж. Нейман запропонував метод створення механізмів, що самовідтворюються. Потім ідея вірусоподібних програм неодноразово відроджувалася. І після опублікування в 1959 р. в одному з американських журналів матеріалів на цю тему, Ф. Шталь запрограмував біокібернетичну модель істот, які харчуються словами, що розмножуються і пожирають собі подібних.
Це цікаво
Своєрідним каталізатором появи та реалізації нових, дедалі витонченіших вірусів стають науково-фантастичні романи. Так, в 1975 р. Джон Бруннер описав у своєму науково-фантастичному романі, що став бестселером, «хробаків» - програми, які поширюються по мережі, чим передбачив наступні реальні події.

Весною 1977 р. з'явився перший персональний комп'ютер фірми Apple(Macintosh), а вже до середини 1983 р. загальна кількість проданих персональних комп'ютерівперевищило 3 млн. штук. Тоді вже з'явилися перші банки програм, що вільно розповсюджуються, і даних - BBS, куди будь-який програміст міг переслати свою програму, а будь-який користувач мережі міг її взяти і запустити на своєму комп'ютері. Саме на той момент виникли реальні можливостістворення та швидкого поширення комп'ютерних вірусів. Тоді й набув розвитку новий видхуліганства – комп'ютерний, коли якась програма-вандал після виконання якоїсь умови або через деякий час знищувала дані на комп'ютері користувача.
Світ пам'ятає кілька випадків масового зараження комп'ютерів. Так, у 1987 р. було цілих три таких епідемії. Так званий Пакистанський вірус лише у США заразив понад 18 тис. комп'ютерів; Лехайський вірус протягом кількох днів знищив вміст кількох сотень особистих дискет і дискет бібліотеки обчислювального центру однойменного університету США, заразивши близько 4 тис. ПК, а наприкінці того ж року в Єрусалимському університеті виявили вірус, який за короткий час поширився по всьому цивілізованому світу , заразивши лише США близько 3 тис. ПК.
Великий сплеск вірусної епідемії було зареєстровано 1999 р. Вірус «Чорнобиль», створений тайванським офіцером, 26 квітня 1999 р., у річницю чорнобильської аварії, вивів з ладу величезну кількість комп'ютерів у світі. Черговий пік вірусної атаки припав на 1 серпня 2001 р., коли активізувався новий мережевий вірус-черв'як Code Red Worm. На атаку зазнали операційні системи Windows-2000, -NT. Лише 19 липня 2001 р. цей вірус вивів із ладу 230 тис. серверів.
В даний час налічується вже близько 20 тис. різних вірусів і щомісяця на волю вириваються до трьохсот нових екземплярів. У Росії видано унікальну вірусну енциклопедію, що містить опис 26 тис. комп'ютерних вірусів і навіть демонстрацію ефектів, вироблених ними.

Що таке комп'ютерний вірус?
Точного науково-технічного визначення цього явища досі немає. Можна сказати, що комп'ютерний вірус – це програма, яка порушує нормальну роботуінших програм та комп'ютерної техніки. Вона має здатність самовідтворення, поширення, впровадження в інші програми. Дії вірусу залежать від фантазії, кваліфікації та моральних принципів його творця. Характери вірусів певною мірою відображають сутність їх творців - іноді це прості, жартівливі та нешкідливі програми, але зустрічаються й надзвичайно підступні, агресивні та руйнівні екземпляри. Їхні назви говорять самі за себе: "Маріхуана", "Терорист", "Кіллер", "Загарбник".
Що реально може вірус? Існує думка, що людина може заразитись від техніки комп'ютерними вірусами. Плутанина походить від використання одного і того ж терміна - вірус. Підкреслимо, що комп'ютерний вірус – це умовне найменування специфічних комп'ютерних програм, які за своїм механізмом дії схожі на біологічні віруси.
Комп'ютерні віруси можуть заразити лише подібних, тобто. програми, тому програми треба захищати.
Дія більшості вірусів не обмежується лише розмноженням чи невинними жартами. Віруси можуть руйнувати зображення на екрані, виводити на екран непристойні написи, уповільнювати роботу комп'ютера, виконувати різні мелодії, без дозволу видаляти файли та каталоги, знищуючи інформацію.
Як інфекція передається від людини до людини, так і комп'ютерні віруси переходять від одного комп'ютера до іншого, змінюючи наявні файли і дописуючи свій код. Під час запуску зараженої програми або при відкритті пошкодженого файлу даних вірус завантажується в системну пам'ять комп'ютера, звідки намагається вразити інші програми та файли.

Види комп'ютерних вірусів
Щоб успішно боротися із вірусами, треба їх знати. Розглянемо найпоширеніші типи вірусів, з якими ви будь-якої миті можете зіткнутися.
Макровіруси. Ці віруси поширюються зараженими файлами даних і вчиняють розгром, використовуючи механізм макросів програми-господаря. Вони поширюються значно швидше за будь-які інші комп'ютерні віруси, так як уражені ними файли даних використовуються найчастіше. Хакери використовують мови програмування таких популярних програмЯк Word і Excel, щоб спотворювати написання слів, змінювати зміст документів і навіть видаляти файли з жорстких дисків.
Віруси, що вражають завантажувальний сектор та головний завантажувальний запис. Як приклад можна назвати віруси "Мікеланджело", "Кілрой", "Джек-Різник". Вони передаються з комп'ютера на комп'ютер через заражені флешки та дискети. При зверненні до встановленого зовнішнього диска операційна система зчитує та виконує вірусний код.
Мабуть, найзнаменитіший вірус «Мікеланджело», який змусив тремтіти весь комп'ютерний світ, заслуговує на те, щоб йому було приділено деяку увагу. Щороку 6 березня, у день народження Мікеланджело, вірус робив свою головну атаку, замінюючи вміст секторів жорстких дисків випадковими даними. Жахливий ефект: відновити інформацію вже не можна.
Файлові віруси Вони впроваджуються у файли і роблять свою чорну справу, коли ви запускаєте заражену програму.
«Бомби уповільненої дії» та «троянські коні». Це особливі різновиди вірусів, що вражають завантажувальні секторита файли. До настання певної дати або певної події вони дрімають в комп'ютері, а потім активізуються і завдають удару.
Проте чіткого поділу з-поміж них немає, і вони можуть використовувати комбінацію варіантів взаємодії - своєрідний вірусний «коктейль».
Троянські програмидіють подібно до « троянському коневі»з грецької міфології. Вони майстерно маскуються під маскою будь-якої корисної програми, але варто зацікавленому користувачеві встановити і запустити подібну програму на своєму комп'ютері, як вона непомітно починає виконувати свою приховану функцію ворожу.
Після того, як «троянець» виконає своє завдання, програма може самознищуватися, тим самим ускладнюючи виявлення справжніх причин"пожежа" на вашому комп'ютері. Троянські програми часто використовують для початкового поширення вірусів.
Логічною бомбою називають програму (або її окремі модулі), яка при виконанні умов, визначених її творцем, здійснює несанкціоновані дії, наприклад, при настанні зумовленої дати або, скажімо, появі або зникненні будь-якого запису в базі даних відбувається руйнування програм або БД. Відомий випадок, коли програміст, який розробляв систему автоматизації бухгалтерського обліку, Заклав у неї логічну бомбу, і, коли з відомості на отримання зарплати зникло його прізвище, спеціальна програма-бомба знищила всю систему.
Поліморфні віруси Як підказує сама назва, щоразу, коли такий вірус заражає систему, він змінює вигляд, щоб уникнути виявлення антивірусними програмами. Нові витончені поліморфні віруси значно важче виявити і набагато складніше нейтралізувати, оскільки при зараженні кожного нового файлу вони змінюють свої характеристики.
Віруси багатосторонньої дії. Хитромудрі гібриди, що одночасно з файлами вражають завантажувальні сектори або головний завантажувальний запис.

Організація захисту від комп'ютерних вірусів
Комп'ютерні віруси становлять реальну загрозу безпеці вашого комп'ютера, і, як водиться, кращий спосіблікування – це профілактика захворювання.
І якщо ваш комп'ютер підхопив вірус, вам не вдасться з ним впоратися без спеціальних засобів - антивірусних програм.
Що має робити антивірусна програма?
Перевіряти системні області на завантажувальному дискуувімкнення комп'ютера.
Перевіряти файли на встановлених в дисковод змінних носіях.
Надавати можливість вибору графіка періодичності перевірки жорсткого диска.
Автоматично перевіряти файли, що завантажуються.
Перевіряти виконувані файли перед запуском.
Забезпечувати можливість оновлення версії через Інтернет.

Це цікаво
Одним із перших вірусів, що прийшли в СРСР у 1988 р., називався Viena-648, і, мабуть, саме з цього часу бере відлік вітчизняний антивірусний напрямок, що розпочинався програмою Д. Лозінського Aidstest.
У Росії антивірусними проблемами вже багато років професійно займаються переважно дві серйозні фірми: «Діалог Наука» (програми Aidstest, Doctor WEB,
комплекс Sheriff) та «Лабораторія Касперського» (Kami, програми серії AVP). Усі нові віруси насамперед потрапляють до них.
Ці компанії мають великий авторитет і на міжнародній арені. Продукція компанії «Діалог Наука» добре знайома великому числу власників комп'ютерів. Перша версія антивірусної програми Doctor WEB з графічним інтерфейсом з'явилася у квітні 1998 р., після чого пакет постійно розвивався та доповнювався. Сьогоднішня версія програми Doctor WEB має зручний, інтуїтивно зрозумілий та наочний графічний інтерфейс. Щодо можливостей пошуку вірусів, то їх висока оцінка підтверджується перемогами в тестах авторитетного міжнародного журналу «Virus Bulletin». "Лабораторія Касперського" є найбільшим російським розробникомантивірусних систем безпеки.
Можна встановити на комп'ютері антивірусний монітор (сторож) – резидентну антивірусну програму, яка постійно знаходиться в оперативній пам'яті та контролює операції звернення до файлів та секторів. Перед тим, як дозволити доступ до об'єкта (програми, файлу), сторож перевіряє його на наявність вірусу. Таким чином він дозволяє виявити вірус до моменту реального зараження системи. Прикладами таких програм є McAfee VirusShield (антивірусний комплект McAfee VirusScan) та AVP Monitor (комплект AntiViral Toolkit Pro Касперського). Необхідно враховувати, що далеко не всі програми-монітори забезпечені «лікуючим» блоком, тому, щоб знешкодити вірус, доведеться або видаляти заражений файл, або встановити відповідний блок (антивірусну програму).
Популярні антивірусні програми дозволяють вибрати режим захисту від вірусів. Крім того, фірми-розробники таких програм постійно оновлюють базу даних, що використовується для виявлення вірусів і, як правило, розміщують її на Web-вузлі у відкритому доступі для зареєстрованих користувачів. Якщо ви належите до таких, щомісяця заглядайте на вузол, щоб зробити свіже «щеплення».
Проблеми вірусних атак хвилюють і розробників програм-додатків. Велика увагапри розробці нової версії Office було приділено безпеці роботи з документами. Так, наприклад, для запобігання зараженню документів вірусами для Office розроблено новий програмний інтерфейс Microsoft Office Antivirus API, що надає можливість антивірусним програмам незалежних розробників перевіряти документи Office безпосередньо перед завантаженням у додаток. Крім того, в Office покращено вбудовану систему захисту від макровірусів, яка тепер має кілька рівнів безпеки.

Поради щодо організації антивірусного захисту.
Нижче наведені поради допоможуть вам уникнути неприємностей, пов'язаних з вірусним зараженнямкомп'ютера.
1. Якщо хочете уникнути великих витрат і втрат, одразу передбачте придбання та встановлення комплексного антивірусного програмно-апаратного захисту для вашої комп'ютерної системи. Якщо така поки що не встановлена, не забувайте регулярно перевіряти свій комп'ютер свіжими версіями антивірусних програм
та встановіть програму-ревізор диска (наприклад, ADinf), яка відстежуватиме всі зміни, що відбуваються на вашому комп'ютері, та вчасно сигналізувати про вірусну небезпеку.
2. Не дозволяйте стороннім працювати на вашому комп'ютері, Крайній мірібез вашого дозволу.
3. Візьміть за строге правило обов'язково перевіряти всі сторонні сторони, що підключаються зовнішні диски, які ви використовуєте на своєму комп'ютері, незважаючи на
всі запевнення їхнього власника, останніми версіями антивірусних програм (Doctor WEB, AVP та ін.).
4. Настійно радимо перевіряти на наявність вірусів всі CD/DVD-ROM, у тому числі і фірмові, але куплені з рук або взяті з боку.
6. Будьте обережні, обмінюючись файлами з іншими користувачами. Ця порада особливо актуальна, коли справа стосується файлів, які ви завантажуєте з мережі Інтернет або доданих до електронних послань. Тому краще відразу перевіряти всі вхідні файли (документи, програми) на наявність вірусу, що непогано вміють робити антивірусні монітори, наприклад, AVP Monitor.
7. Робіть резервні копії даних. Це допоможе відновити інформацію у разі впливу вірусу, збою в системі або виходу з жорсткого диска.
8. Перевірте на наявність вірусів старі файли та диски. Звичайні віруси, як і макровіруси, прокидаються лише тоді, коли ви відкриваєте чи завантажуєте інфікований файл. Таким чином, віруси можуть довгий часнепомітно зберігатися на жорсткому диску в заражених програмах та файлах даних, додатках до непрочитаних електронних листів та стислих файлів.

ОРГАНІЗАЦІЯ БЕЗПЕЧНОЇ РОБОТИ З КОМП'ЮТЕРНОЮ ТЕХНІКОЮ
Комп'ютерна техніка є джерелом випромінювань та електромагнітних полів, а також місцем накопичення статичної електрики, потенційно небезпечних для людини. Однак не слід забувати, що ці явища присутні і в побуті, і в природі, а не тільки притаманні виключно комп'ютеру. А Статистична електриканакопичує навіть звичайна гребінець. І поки ці випромінювання і поля не перевищують встановлений медициною гранично допустимий рівень (ПДУ), вони не завдають відчутної шкоди здоров'ю людини.
З усіх пристроїв, пов'язаних з комп'ютером, для здоров'я найбільшу потенційну небезпеку становить ЕПТ монітор. Саме він поєднує відносно високий рівень випромінювання та досить малу відстань до людини. Строго кажучи, клавіатура, що знаходиться в безпосередньому контакті з пальцями користувача, теж є джерелом випромінювання, але воно практично не відрізняється від природного фону і не йде в жодне порівняння з випромінюванням монітора. LCD моніторивипромінюють значно менше, ніж ЕЛТ.
Комп'ютер настільки ж безпечний, як будь-який інший побутовий прилад. Але, як і у випадку з іншими побутовими приладами, існують потенційні загрози здоров'ю, пов'язані з його застосуванням.
Розглядаючи вплив комп'ютерів на здоров'я, наголосимо на кількох факторах ризику. Сюди відносяться:
проблеми, пов'язані з електромагнітним випромінюванням;
проблеми зору;
проблеми, пов'язані з м'язами та суглобами.
У кожному з цих випадків ступінь ризику прямо пропорційна часу, що проводиться за комп'ютером та поблизу нього.
Почнемо з найбільш спірного моменту, пов'язаного із шкідливим впливом електромагнітного поля, що створюється монітором комп'ютера.

Захист від електромагнітного випромінювання
Кожен пристрій, що виробляє чи споживає електроенергію, створює електромагнітне випромінювання. Це випромінювання концентрується навколо пристрою як електромагнітного поля.
Одні з них, такі як електричний чайник, створюють довкола себе невеликий рівень випромінювання. Інші пристрої: високовольтні лінії, мікрохвильові печі, телевізори, монітори комп'ютерів – створюють набагато вищі рівні випромінювання.
Електромагнітне випромінювання не можна побачити, почути, понюхати, спробувати на смак або доторкнутися, проте воно є всюди. Хоча шкідливий вплив звичайних рівнів електромагнітного випромінювання на здоров'я ніким поки що не доведено, але багатьох ця проблема хвилює.
Кожен, хто знайомий із принципом дії монітора комп'ютера, званого також відеотерміналом або дисплеєм, погодиться з тим, що немає сенсу говорити про рентгенівське випромінювання, оскільки незначна кількість іонізуючого випромінювання, що створюється катодно-променевою трубкою всередині монітора, ефективно гаситься склом трубки.
Що стосується впливу на людський організм електромагнітного випромінювання більше низьких частот- випромінювання дуже низької частоти та наднизькою частоти, створюваного комп'ютерамита іншими побутовими електроприладами, то тут вчені та захисники прав споживачів поки що не дійшли єдиної думки.
Випромінювання монітора на базі електронно-променевої трубки безпосередньо в бік користувача різко падає пропорційно віддаленості від екрану, а ось електромагнітне поле поширюється на всі боки. Причому безпосередньо перед екраном воно дещо ослаблене тіньовою маскою та арматурою кінескопа, а від бічних та задніх стінок монітора воно поширюється безперешкодно.
В даний час в Росії діють узгоджені з міжнародними нормативами законодавчі акти, що гарантують споживачеві відповідність моніторів, що пройшли сертифікацію, загальноприйнятим нормам безпеки. Такими законодавчими актами є ДЕРЖСТАНДАРТ Р 50948-96 «Дисплеї. Кошти відображення інформації індивідуального користування. Загальні ергономічні вимоги та вимоги безпеки» та СанПіН 2.2.2.542-96 «Гігієнічні вимоги до відеодисплейних терміналів, персональних електронно-обчислювальних машин та організації роботи».
Прийняті на сьогодні санітарні норми встановлюють мінімальну відстань від екрана до користувача 50...70 см (приблизно довжина витягнутої руки), тоді як ця відстань від бічної та задньої стінки до робочих місць має бути не менше 1,5 метрів.
Для кожного оснащеного комп'ютером робочого місця визначено мінімальну площу - не менше 6 м2. Клавіатура та руки користувача повинні знаходитися максимально можливому видаленніз комп'ютера.
У плоскопанельного рідкокристалічного монітора повністю відсутні шкідливі випромінювання. Використання рідкокристалічних моніторів, які практично не мають шкідливих випромінювань, у портативних комп'ютерах-ноутбуках створило поширену думку про їхню нешкідливість у порівнянні зі стаціонарними комп'ютерами.
Однак не слід забувати, що змінні електромагнітні поля, створювані імпульсними перетворювачами системи живлення, у деяких типів ноутбуків анітрохи не менше полів застарілих типів моніторів з ЕПТ. Крім того, внаслідок розміщення клавіатури в єдиному блоці з процесором портативний комп'ютер знаходиться набагато ближче до користувача, ніж стаціонарний, а рівень електромагнітного поля, як ми вже говорили, посилюється при наближенні до комп'ютера.

Корисні поради. Наведемо кілька порад, що містять відомості про те, як убезпечити себе, коли доводиться мати справу з комп'ютерами чи електромагнітними полями.
1. Оскільки електромагнітне випромінювання виходить від усіх частин монітора (багато вимірів показали, що рівень випромінювання з боків і ззаду монітора вище, ніж спереду), то найбільш безпечно встановити комп'ютер у кутку кімнати або в такому місці, де ті, хто на ньому не працюють , не були б збоку або ззаду від монітора.
2. Не залишайте комп'ютер або монітор надовго увімкненим. Якщо комп'ютер не використовується, вимкніть його. Це, можливо, не дуже зручно (і може навіть вплинути на термін служби комп'ютера), але все ж це не занадто велика платазахист від потенційної небезпеки електромагнітного поля.
3. Намагайтеся сидіти по можливості далі від екрана комп'ютера, але не на шкоду зручності. Відповідно до випробувань, проведених різними дослідниками, користувачі, що сиділи принаймні 70 см від екрану, отримують мінімальну дозу електромагнітного випромінювання. Рекомендується при роботі за комп'ютером поміщати монітор на відстань руки (дорослі руки з витягнутими пальцями).
4. Діти та вагітні жінки повинні проводити за комп'ютером не більше кількох годин на день.

Комп'ютер та зір
Природою очі були призначені полювання і збирання, тобто. для фокусування на далеких відстанях, а чи не для розгляду близьких предметів. Комп'ютер надає певний негативний вплив на зір людини. М'язи, які керують очима та фокусують їх на певному предметі, просто втомлюються від надмірного навантаження.
Очні м'язи розслаблені, коли ми дивимося в далечінь. Розглядаючи щось поблизу, ми напружуємо м'язи очей, тому після декількох годин роботи за монітором очі втомлюються. Потенційна втома очей існує при будь-якій роботі, в якій бере участь зір, але найбільша вона, коли потрібно розглядати об'єкт на близькій відстані. Проблема ще більше зростає, якщо така діяльність пов'язана з використанням пристроїв високої яскравості, наприклад, монітора комп'ютера. Найчастіше стомлюваність призводить до того, що люди стають млявими та дратівливими. Комп'ютерний зоровий синдром. Напруга, яку відчувають очі під час роботи за комп'ютером, часто призводить до розвитку стану, що отримав назву комп'ютерного зорового синдрому (КЗС). Воно характеризується почервонінням повік,
болем у власних очах, очі починають сльозитися чи, навпаки, у яких з'являється відчуття сухості, різі, печіння. Ці відчуття підвищують стомлюваність. Поява КЗС пов'язана не лише зі світловим випромінюванням, адже очі людини, що дивиться на монітор, виконують не зовсім звичну роботу: вони сприймають зображення, яке принципово відрізняється від природного. Перш за все, монітор світиться, на відміну, наприклад, від книжкової сторінки, але, крім того, він мерехтить, чіткість і кольори об'єкта
на екрані відрізняються від природних, а саме зображення складається з крапок.
Надмірне захоплення роботою за комп'ютером може також посилити проблеми з зором. Хоча ще й не доведено, що комп'ютери справді можуть викликати погіршення зору, деякі офтальмологи висловлюють побоювання, що надмірне захоплення ними може негативно вплинути на м'язи, що керують очима, внаслідок чого потім буде дуже важко концентрувати зір на певному предметі, особливо в таких заняттях. як читання. Якщо це станеться, проблему корекції зору доведеться вирішувати за допомогою окулярів.
Корисні поради. На щастя, більшість цих проблем вдається досить легко уникнути. Ось деякі методи.
1. Найочевидніше рішення - це обмежити кількість часу, проведеного за комп'ютером без перерви. Рекомендується робити коротку перерву через кожні 15...30 хв занять, або через кожну годину роботи. Ідеальною «розрядкою» між комп'ютерними заняттямиможе бути фізична активність, яка не вимагає напруги зору - прогулянка, гра в м'яч на повітрі або навіть похід у магазин.
2. Деякі фахівці пропонують вправи для очей, які допомагають уникнути непотрібних проблем, пов'язані з використанням комп'ютера. Це можуть бути такі прості вправи, як, наприклад, стеження за об'єктами, що рухаються в поле зору, або концентрація зору на віддалених предметах. Чергування роботи за комп'ютером з іншими видами діяльності корисне ще й тим, що останні часто включають зорові рухи, що є хорошими вправами для очей.
За перших ознак втоми зробіть одну або кілька простих вправ на розслаблення з наведених нижче.
Вправа 1. Щільно заплющіть очі руками так, щоб через них не проходило світло. Слідкуйте за тим, щоб посадка була зручною. Особлива увага – на спину та шию, вони повинні бути прямими та розслабленими. Закрийте очі та спробуйте побачити перед очима абсолютно чорний колір. Вдасться це не відразу, швидше за все постійно виникатимуть кольорові смужки, ромбики та ляпки. Тут можна піти на різні хитрощі, уявляючи собі, наприклад, букву «О», що збільшується, з чорною, як смоль, друкарською фарбою. Чим чорнішим буде колір, тим краще ви розслабили очі. Багато людей зі слабкою короткозорістю можуть досягти повного
відновлення зору відразу після виконання цієї вправи.
Вправа 2. Закрийте очі та крізь повіки подивіться на сонце чи яскраву лампу. Повертайте очі праворуч-ліворуч, робіть кругові рухи. Після закінчення вправи міцно стисніть повіки на кілька секунд. Вправа носить швидше не розслаблюючий, а збуджуючий характер, тому рекомендуємо після нього зробити вправу 1. Є інший варіант цієї вправи. Відрізняється лише тим, що при його виконанні необхідно швидко-швидко моргати очима, а не закривати їх. При цьому в поворотах вправо-вліво можуть брати участь не лише очі, а й голова.
3. Непогано також урізноманітнити характер занять за комп'ютером. Наприклад, роботу з текстовим процесором можна чергувати з грою, в якій присутні рухомі об'єкти. Таке чергування вимагатиме від очей абсолютно різної поведінки і перешкоджатиме їх стомлюваності, викликаної тривалою концентрацією зору на одній і тій же меті.
4. Є ще один спосіб зменшити ризик перенапруги очей, він полягає у виборі гарного монітора. Монітори з високою роздільною здатністюзавжди зручніше для очей, ніж монітори з низькою роздільною здатністю. Якщо ви збираєтеся сидіти біля комп'ютера довго, вам необхідно мати дисплей з високою чіткістю.
5. Нарешті, важливо вжити заходів щодо зменшення відбиття від монітора. Яскраве та нерівне освітлення в кімнаті може викликати неприємні відображення на екрані. Якщо вам доставляють занепокоєння відображення від монітора або його власна яскравість, то перед ним можна встановити спеціальний екран антивідблиску.

Проблеми, пов'язані з м'язами та суглобами
У людей, які проводять багато часу за комп'ютером, найбільша кількістьскарг на здоров'я пов'язане із захворюваннями м'язів та суглобів. Найчастіше це просто оніміння шиї, біль у плечах та попереку чи поколювання в ногах. Але бувають серйозніші захворювання. Найбільш поширений кистьовий тунельний синдром (capral tunnel syndrome), при якому нерви руки пошкоджуються внаслідок частої та тривалої роботина комп'ютері. Має сенс стежити за становищем свого тіла, якщо ви
надто засиділися за комп'ютером. Обов'язково простежте, щоб стілець, на якому ви сидите, не був надто високим або надто низьким. Примушуйте себе під час роботи за комп'ютером не горбитися. Якщо ви виробите звичку сидіти рівно і дивитися прямо на комп'ютер, то найімовірніше вам вдасться в майбутньому уникнути проблем з м'язами та суглобами.
Активні фізичні вправи, гімнастика або рух є профілактикою для суглобів і м'язів, тому намагайтеся не рідше одного разу на годину встати з-за комп'ютера і зробити кілька фізичних вправ або хоча б просто пройтися по кімнаті.

Раціональна організація робочого місця
З поняттям ергономіки ми пов'язуємо раціональну організацію робочого місця. При «правильній» роботі зросте як швидкість, а й якість роботи.
Щоб робота була комфортною та ефективною, необхідно подбати про зовнішні умови. Основне – це освітлення. Воно має бути досить яскравим (300...500 лк), але неуважним. Стіл треба розташовувати боком до вікна, вікно повинне мати жалюзі або щільні штори (у разі потрапляння прямого сонячного світла).
Якщо вдома ви працюєте ночами, включайте верхнє світло, співвідношення яскравостей екрану та навколишніх предметів не повинно бути більше 10: 1. Монітор розташовуйте так, щоб унеможливити появу відблисків від штучного або природного освітлення.
Багато говорять про необхідність підтримання невисокої температури на робочому місці. В даний час дослідники вважають, що оптимальною є температура 22 ... 24 ° С взимку і 23 ... 25 ° С влітку. Набагато рідше згадують про іншу умову: різниця температур на рівні підлоги і голови оператора, що сидить, не повинна перевищувати трьох градусів.
Ну, і нарешті, вологість повітря у приміщенні має лежати в межах 40…60 %. Стережіться протягів. Їх на робочому місці не повинно бути, як і різного роду вентиляторів. До речі, протягом російські стандарти вважають переміщення повітря зі швидкістю понад 0,1 м/сек.
Робочий стіл. Основний параметр, що впливає на зручність роботи – висота столу. Наука говорить про те, що оптимальне значення цієї цифри 72,5 см. Але краще, звичайно, купувати стіл із регульованою висотою. Тоді ви зможете більш точно встановити зручну для вас висоту. Але це ще не все. Під столом має бути достатньо місця для ніг. Вибираючи стіл, зверніть увагу, що під ним повинні розміщуватися як витягнуті ноги (глибина не менше 65 см), так і закинуті одна на одну (висота простору під столом не менше 60 см).
Стіл повинен мати такі розміри, щоб на ньому можна було розмістити монітор, клавіатуру та документи.
Крісло стілець). Здавалося б, вимоги до нього сформулювати дуже просто - воно має бути зручним. Але це не все. Крісло повинно дозволяти тілу приймати фізіологічно раціональну робочу позу, за якої не порушується циркуляція крові і не відбувається інших шкідливих впливів. Фізіологи намалювали портрет «ідеального» крісла, що забезпечує комфортну тривалу та безпечну роботу.
Отже, крісло обов'язково має бути з підлокітниками та мати можливість повороту, зміни висоти та кута нахилу сидіння та спинки. Бажано мати можливість регулювання висоти та відстані між підлокітниками, відстані від спинки до переднього краю сидіння. Важливо, щоб усі регулювання були незалежними, легко здійсненими та мали надійну фіксацію.
Розмір сидіння повинен бути не менше 40 х 40 см. Кут його нахилу варіюється від 15 ° вперед до 5 ° назад. Оптимальна висота сидіння від 40 до 55 см. Особливі вимогидо спинки крісла: висота опорної поверхні 30±2 см, ширина не менше 38 см, радіус кривизни в горизонтальній площині 40 см, кут нахилу від 0 до 30°, відстань до переднього краю сидіння від 26 до 40 см. Підлокітники повинні бути не меншими 25 см завдовжки, 5…7 см завширшки, перебувати над сидінням на висоті 25 ±3 див і з відривом від 35 до 50 див друг від друга.
Клавіатура. Вимоги до ергономічності клавіатури полягають виключно в тому, що вона повинна розташовуватися на відстані 10...30 см від краю столу або на спеціальній регульованій по висоті підставці. У будь-якому випадку, якщо ви набираєте багато текстів, варто подбати про те, щоб зап'ястки не висіли в повітрі.
Монітор. Вимоги до якості монітора ми розглянемо нижче, а зараз поговоримо про те, як його розміщувати на робочому столі. Він повинен стояти так, щоб зображення було чітко видно без необхідності піднімати чи опускати голову. Монітор обов'язково має бути розташований нижче рівня очей. При погляді нагору швидко втомлюється шия. Підставка монітора має бути якомога нижчою. Кут спостереження має становити 0…600. Відстань до монітора щонайменше 40 див.

Поради щодо організації безпечної роботи з комп'ютерною технікою
Елементарний здоровий глузд підказує: якщо є реальна чи потенційна небезпека, пов'язана з впливом будь-яких факторів, необхідно постаратися звести їх до мінімуму.
У нашому випадку треба зробити так, щоб комп'ютерне випромінювання та електромагнітні поля були максимально наближені до природних фонових значень.
Вирішення трьох проблем допоможе досягненню цієї мети.
1. Придбання монітора з параметрами максимально наближеними до природного фону. "Класичні" монітори на базі електронно-променевих трубок, безумовно, випускають електромагнітне випромінювання, що очевидно вже з назви цих приладів. Безліч існуючих стандартів безпеки часто ставлять покупця в глухий кут: ISO 9241, численні варіанти ТСО та MPR - що все це може означати і чому довіряти? Якщо говорити загалом, то ці стандарти визначають максі-
мало допустимі значенняелектромагнітних полів, створюваних монітором під час роботи. У кожній економічно розвиненій країні діють власні стандарти, але особливу популярність завоювали ті, що були розроблені в Швеції. Вони відомі під найменуваннями ТСО та MPR 2.
Рекомендації ТСО стосуються не тільки меж різних випромінювань, але мінімально прийнятних значень ряду параметрів моніторів, наприклад дозволів, що підтримуються, інтенсивності світіння люмінофора, запасу яскравості, енергоспоживання і т.п. MPR 2 визначає максимально допустимі величини випромінювання електромагнітних полів та методи їх вимірювання.
Найбільш жорстким і відповідно найсприятливішим для користувача є стандарт ТСО 99, специфікації якого включають вимоги, взяті зі стандартів ТСО 95, ISO, 1ЕС і EN, а також зі Шведського національного стандарту MPR 1990:8 (MPR 2). Втім, всі сучасні моделі моніторів, як правило, відповідають найсучаснішим стандартам. Для того, щоб звести до мінімуму ризик виникнення комп'ютерного зорового синдрому, бажано працювати на комп'ютері, що відповідає наступним вимогам:
кількість кольорів на кольоровому екрані щонайменше 256;
роздільна здатність 800×600 точок за відсутності мерехтіння;
розмір зерна не менше 0,28 мм, а краще менше;
розмір екрану щонайменше 15 дюймів по діагоналі;
частота регенерації не менше ніж 85 Гц; оптимальною вважається встановлення максимально можливої ​​частоти за відсутності мерехтіння.
А якщо ви тільки збираєтеся придбати монітор, то простежте, щоб на корпусі стояв значок однієї з версій шведського стандарту.
На практиці набагато важливіше, виявляється, правильно налаштувати куплений монітор і виставити на ньому параметри, що забезпечують найбільш комфортні для роботи та безпечні для зору умови. Що стосується різних типів захисних екранів, то зазначимо наступне: дешеві «вироби» за 8…20 дол. хіба що заспокоять вам нервову систему та знімуть електростатичний заряд із монітора.
У деяких випадках вони можуть бути навіть шкідливими, вносячи оптичне спотворення (відблиски) у сприйману вами «картинку». Якісні фільтри, що реально захищають користувача від різних випромінювань монітора застарілого типу, коштують близько 80...150 дол. (залежно від розмірів екрану), тому набагато доцільніше використовувати ці гроші для придбання нового монітора, якому захисний екран не знадобиться.

2. Правильна організація робочого місця. Мало придбати комп'ютерну техніку з добрими показниками безпеки – її потрібно ще грамотно встановити. Електромагнітні поля, що перевищують допустимий рівень випромінювання, можуть виникати навіть у якісної сертифікованої техніки, якщо вона неправильно встановлена. Тому при встановленні комп'ютерної техніки необхідно таке.
Простежити за правильним розташуванням комп'ютерів у приміщенні, адже наявність великої кількості моніторів в обмеженому просторі може призвести до перевищення допустимого рівнямагнітних полів
Захищати комп'ютер від потрапляння на нього прямих сонячних променів. Робоче крісло повинне знаходитися на безпечній відстані, та й від бічної та задньої стінок монітора краще триматися подалі.
Обов'язково застосовувати мережевий фільтра якщо дозволяють фінанси - джерело безперебійного харчування. Забезпечити надійне заземлення комп'ютерної техніки та джерел живлення.
Правильно зорієнтувати монітор щодо джерел світла – найкраще сидіти спиною до вікна. Мінімізувати відблиски на екрані від розташованих поруч із монітором джерел світла, світлого обладнання, яскравих поверхонь, незашторених вікон.
При використанні ноутбуків бажано підключати до них звичайну клавіатуру та мишу максимального видаленнявід процесорного блоку.
Підтримувати низький рівень запиленості приміщення. За наявності кондиціонера не забудьте його вмикати.

3. Забезпечення оптимального режиму роботи з комп'ютером. Насамперед необхідно забезпечити загальні гігієнічні норми режиму роботи: обмеження часу роботи на комп'ютері, необхідні перерви, періодична зміна видів діяльності, зарядка для очей та розминка для відновлення кровообігу.
Знімати втому очей необхідно навіть під час роботи: протягом кількох секунд повертайте ними за годинниковою стрілкою і назад, чергуючи це з легкими вправами гімнастичними для всього тіла (наприклад, підніманням і опусканням рук). Після кожної години роботи робіть 5-10-хвилинні паузи. При цьому можна підійти до вікна і на відстані 30 ... 50 см від скла зробити вправи для тренування акомодації очей: подивитися протягом декількох секунд на мітку на склі, а потім перевести погляд на далекий об'єкт за вікном. Потім вправу слід повторити.
Не слід сидіти за монітором взагалі без світла, особливо вечорами. Подбайте, щоб яскравість освітлення приміщення не сильно відрізнялася від яскравості екрана.
Придбайте зручне для спини та ніг робоче крісло. Слідкуйте за тим, щоб посадка була зручною. Особлива увага – на спину та шию, вони повинні бути прямими та розслабленими.
Одяг, що сприяє накопиченню статики, - ворог комп'ютера та джерело хворобливих відчуттів людини.
Намагайтеся довгий час не стояти поруч із задньою частиною монітора. І не забувайте вимикати монітор, коли він не потрібний.

Контрольні питання
1. Назвіть засоби захисту комп'ютерної інформації.
2. Які засоби програмно-апаратного рівня захисту ви знаєте?
3. Як встановлювати паролі на BIOS, екранну заставку та файли?
4. Як захиститись від вірусної атаки?
5. Перерахуйте відомі вам антивірусні програми.
6. Як застерегти користувача від впливу електромагнітного випромінювання?
7. Як уберегтися від комп'ютерного зорового синдрому?
8. Перерахуйте заходи ергономічної організації робочого комп'ютерного місця.
9. Назвіть критерії оптимального режиму роботи з комп'ютером.