Организация системного контроля на предприятии, способствующего предотвращению внешних угроз

Этим и воспользовались ученые.
При авторизации человеку предлагается запомнить какие-то картинки. При входе пользователю выдается последовательность из 100-200 картинок разбитых на группы. Из каждой группы необходимо выбрать «свою» картинку. Исследования показали, что даже после трех месяцев человек легко может выбрать нужную картинку. Недостатки: не практично, довольно сложно.
При использовании графических паролей хакеру не удастся узнать пароль, даже следя за щелчками пользователя, как это удается при использовании обычных даже сложных паролей [29].
При авторизации в системе пользователь выбирает любую картинку из предложенных ему компьютером или загружает свою. Главный критерий выбора картинки – разнообразие и множество предметов на ней. Дальше пользователю предлагается выбрать любые 4 точки, которые он легко запомнит, и отметить их на рисунке. При входе в систему высвечивается та же картинка, и человеку надо нажать те самые 4 точки, которые он загадал. Такой пароль очень сложено для взлома, поскольку комбинаций для выбора 4 точек из множества пикселей задача не из легких, и в то же время прост для запоминания.
Второй тип графического пароля действует следующим образом. При авторизации пользователю предлагается запомнить 10 любых иконок из 300-400. При входе в систему на экране появляется картинка, на которой изображено большое количество различных иконок, из которых 3 или 4 выбраны. Необходимо представить фигуру (треугольник или четырехугольник), которую образуют эти иконки, и нажать любой значок внутри нее.
Подобные системы авторизации занимают больше времени, чем обычно, но при их использовании повышается уровень безопасности хранимой информации.
Для защиты от компьютерных вирусов и других вредоносных программ необходимо применение ряда мер: исключение несанкционированного доступа к исполняемым файлам; тестирование приобретаемых программных средств; контроль целостности исполняемых файлов и системных областей; создание замкнутой среды исполнения программ.
Непосредственную защиту системы от проникновения вирусных программ осуществляют программы-ревизоры. Такие программы запускаются при старте системы и, становясь резидентными в памяти, обеспечивают анализ обрабатываемых данных в реальном времени и запуск программ (в том числе системных) в контролируемой среде. Эти программы оперативно реагируют на вирусную атаку извне, а также позволяют излечить (или удалить при неудаче лечения) зараженные вирусом файлы. Самым большим недостатком программ-ревизоров считается существенное замедление быстродействия компьютерной системы за счет очень большого поглощения ресурсов системы самой программой-ревизором.
Самой же надежной защитой от известных вирусов для изолированного от сети компьютера следует считать терапию – тотальную проверку на вирусы всех файлов, в том числе архивов, системных и текстовых файлов, на данном компьютере. Программы-антибиотики производят проверку, лечение, а при невозможности лечения – удаление зараженных всеми известными вирусами файлов.
Выполнять тотальную проверку и лечение необходимо часто и систематически, а также перед каждым резервированием и архивированием (чтобы не хранить в архивах вирусы).
Следует помнить, что антивирусные программы, как и любое другое программное обеспечение, не застраховано от ошибок, троянских программ и др. Также не следует преувеличивать надежность защиты с помощью антивирусных программ.
Как и в большинстве других случаев организации защиты, оптимальной стратегией защиты от компьютерных вирусов является многоуровневая. Такую защиту обеспечивают современные профессиональные пакеты антивирусного программного обеспечения. Такие пакеты содержат резидентную программу-страж, выполняющую роль ревизора системы и главную программу-антибиотик для тотальной очистки от вирусов. Характерной чертой этих пакетов является наличие программы оперативного обновления антивирусных баз с использованием локальной или глобальной компьютерной сети. Такой антивирусный пакет должен быть установлен на каждый компьютер локальной сети. Компьютер-сервер же снабжается специализированным антивирусным пакетом для серверов. Такой пакет программ дополнен программным межсетевым экраном, что обеспечивает улучшенную комплексную защиту.
Подведем итог. Основными принципами – метауровнем – защиты информации являются: авторизация, адекватная защита информации в целом, предотвращение потери данных, обнаружение нарушенной защиты, возможность восстановления по резервной копии и принцип избыточной защиты в узловых (нерабочих) точках. Если соблюдать все эти принципы, то вероятность потери информации с компьютера значительно снизится. Только при выполнении всех перечисленных правил система будет достаточно защищена. Если пропустить хотя бы один пункт, ослабится защита всей системы. Не существует такого пароля, который нельзя взломать. Но есть пароли, который очень тяжело взломать.
Системы электронного документооборота в силу своих технических возможностей обеспечивают высокий уровень защиты информации без привлечения дополнительных ресурсов: дополнительных помещений, сейфов и шкафов для хранения документов, времени сотрудников, затраченного на поиск и копирование документов, расходных материалов для тиражирования.
ЗАКЛЮЧЕНИЕ

Таким образом, высший менеджмент кредитных организаций крайне заинтересован во внедрении комплексных систем ИБ и создании непротиворечивой базы для оценки состояния системы управления организацией в целом. Это, в свою очередь, позволяет оптимизировать величину ИБ-бюджета, а также сбалансировать фонд оплаты труда сотрудников в соответствии с реалиями рынка и требованиями к квалификации. Вдобавок, решается вопрос доверия к информации из конкретных компаний как со стороны регуляторов рынка, так партнеров и клиентов.
Как следствие, бюджеты на ИБ в финансовом секторе в разы превышают аналогичные показатели российского бизнеса в целом. К чему это приводит? Во-первых, к грамотному выбору методологии построения систем управления ИБ, во-вторых - к набору и мотивации персонала, и, в-третьих - к поиску и организации доступа к информации о лучших практиках в отрасли.
Что касается первого пункта, то благодаря усилиям Банка России финансовое сообщество все меньше и меньше ощущает дефицит адаптированных для российских реалий документов. Не являясь обязательным для исполнения, Стандарт ЦБ свободно конкурирует с другими стандартами в сфере ИБ. Результаты исследования показывают что усилия регулятора не пропали даром.
Проблемы, связанные с персоналом и доступом к информации являются наиболее острыми на сегодняшний день. На самом деле, эти проблемы тесно взаимосвязаны друг с другом. Россия – страна с сильно выраженной дифференциацией доходов служащих, в том числе, и финансовой сферы. Отток квалифицированной рабочей силы в Москву и Санкт–Петербург приводит, во-первых, к проблемам в регионах, а, во-вторых, к переизбытку кадров, имеющих недостаточный практический опыт, в обеих столицах.
Отчасти «кадровый голод» объясняется и проблемами самих работодателей, которые не могут сформулировать четкие требования для набора, как инженеров, так и менеджеров в области ИБ. В целом, новые люди нужны 88,5% участвовавшим в опросе банкам. На практике же получается, что в центре отсутствуют квалифицированные кадры, а в регионах специалистов по ИБ нет вообще.
Можно утверждать, что дефицит кадров приводит к снижению темпов отрасли в целом. Региональные банки, в первую очередь, «закрывают» часть наиболее критичных процессов, что допускается стандартами. В Москве же, проблема решается путем проведения мастер-классов с гуру отечественного ИБ-менеджмента, практических семинаров и изучению лучших практик на примере успешно сертифицированных банков.
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ И ЛИТЕРАТУРЫ

Конституция (Основной Закон) Российской Федерации – России: принята Государственной Думой 12 декабря 1993 года. Режим доступа: http://www.consultant.ru/online/base/?req=doc;base=LAW;n=2875.
ГК РФ (часть первая) от 30.11.1994 № 51-ФЗ. Принят Государственной Думой 21 октября 1994г., в ред. от 14.07.2008. Режим доступа: http://www.consultant.ru/online/base/?req=doc;base=LAW;n=89535.
УК РФ от 13.06.1996 № 63-ФЗ. Принят Государственной Думой 24 мая 1996 года. Режим доступа: http://www.consultant.ru/online/base/?req=doc;base=LAW;n=93431.
УПК РФ от 18.12.2001 № 174-ФЗ (принят ГД ФС РФ 22.11.2001)(ред. от 14.03.2009). Режим доступа: http://www.consultant.ru/online/base/?req=doc;base=LAW;n=93430.
ТК РФ от 30.12.2001 № 197-ФЗ(принят ГД ФС РФ 21.12.2001). Режим доступа: http://www.consultant.ru/online/base/?req=doc;base=LAW;n=94180.
ФЗ от 08.12.2003 № 162-ФЗ(ред. от 05.01.2006) «О внесении изменений и дополнений в Уголовный кодекс Российской Федерации» (принят ГД ФС РФ 21.11.2003). Режим доступа: http://www.consultant.ru/online/base/?req=doc;base=LAW;n=90167.
ФЗ от 29.07.2004 №98-ФЗ (ред. от 24.07.2007) «О Коммерческой тайне» (принят ГД ФС РФ 09.07.2004). Режим доступа: http://www.consultant.ru/online/base/?req=doc;base=LAW;n=70848.
ФЗ от 10.01.2002 № 1–ФЗ «Об электронной цифровой подписи». Принят Государственной Думой 13 декабря 2001 года. Режим доступа: http://www.consultant.ru/online/base/?req=doc;base=LAW;n=72518.
ФЗ от 27.07.2006 № 149–ФЗ «Об информации, информационных технологиях и о защите информации». Принят Государственной Думой 8 июля 2006 года. Режим доступа: http://www.consultant.ru/online/base/?req=doc;base=LAW;n=61798.
ФЗ «О банках и банковской деятельности» от 02.12.1990 №395-1. Режим доступа: http://www.consultant.ru/online/base/?req=doc;base=LAW;n=87285.
Закон РСФСР от 24.12.1990 N 443-1(ред. от 24.06.1992, с изм. от 01.07.1994) «О собственности в РСФСР» – утратил силу. Режим доступа: http://www.consultant.ru/online/base/?req=doc;base=LAW;n=4704.
Постановление Правительства РСФСР от 05.12.1991 №35 (ред. от 03.10.2002) «О перечне сведений, которые не могут составлять коммерческую тайну». Режим доступа: http://www.consultant.ru/online/base/?req=doc;base=LAW;n=39026.
Постановление от 26 июня 1995 г. № 608 «О Сертификации средств защиты информации». Режим доступа: http://www.consultant.ru/online/base/?req=doc;base=LAW;n=50803.
Положение «Об особенностях пруденциального регулирования деятельности небанковских кредитных организаций, осуществляющих депозитные и кредитные операции». утв. ЦБ РФ 21.09.2001 №153-П. Режим доступа: http://www.consultant.ru/online/base/?req=doc;base=LAW;n=46337.
Инструкция ЦБ РФ «О банковских операциях и других сделках расчетных небанковских кредитных организаций, обязательных нормативах расчетных небанковских кредитных организаций и особенностях осуществления Банком России надзора за их соблюдением» от 26.04.2006 №129-И. Режим доступа: http://www.consultant.ru/online/base/?req=doc;base=LAW;n=92047
Алексеева, Д.Г., Хоменко, Е.Г. Банковское право: Вопросы и ответы / Д.Г. Алексеева, Е.Г. Хоменко. – М.: Юриспруденция, 2002.
Афанасьева, О.В. Право граждан на информацию и информационная открытость власти: концептуальные вопросы правового регулирования / О.В.Афанасьева; [науч.ред.М.Н.Афанасьев]; ИНО-Центр [и др.].- Саратов: Науч.книга, 2004. – 168с.
Банковское право Российской Федерации. Общая часть: Учеб. / Под общ. ред. акад. Б.Н. Топорнина. – М.: Юрист, 2002.
Басс, Л.Б. Жуков, Е.Ф. Зеленкова, Н.М. Литвиненко, Л.Т. Максимова Л.М. Маркова О.М. Мартыненко Н.Н. Нишатов Н.П. Печникова А.В. Стародубцева Е.Б. Банки и небанковские кредитные организации и их операции / Басс, Л.Б. Жуков, Е.Ф. Зеленкова, Н.М. Литвиненко, Л.Т. Максимова Л.М. Маркова О.М. Мартыненко Н.Н. Нишатов Н.П. Печникова А.В. Стародубцева Е.Б. – М: Вузовский учебник, 2009. – с. 528.
Безруков Н.Н. Компьютерная вирусология / Н.Н. Безруков. – Киев: Книга, 1990. – 28с.
Борохович, Л.Н. Ваша интеллектуальная собственность / Л.Н.Борохович, А.А.Монастырская, М.В.Трохова. – СПб.: Питер, 2001. – 416с.
Верин, В.П. Преступления в сфере экономики / В.П.Верин. – М.: Дело, 1999. – 200с.
Виды (типы) угроз и атак в сети Internet [Электронный ресурс]: Электронный журнал. – HackZone Ltd 2007. – Режим доступа: http://www.hackzone.ru/articles/view/id/5971/.
Голоскоков, Л.В. Теория сетевого права / Л.В.Голоскоков; под науч.ред.А.В.Малько; Ассоц.Юрид.центр. – СПб.: Изд-во Р.Асланова Юрид.центр Пресс, 2006. – 191с.
Городов, О.А. Информационное право / О.А.Городов. – М.: Проспект, 2007. – 248с.
Делопроизводство (Организация и технологии документационного обеспечения управления): Учебник для вузов / Кузнецова Т.В., Санкина Л.В., Быкова Т.А. и др.: Под ред. Т.В. Кузнецовой. − М.: ЮНИТИ–ДАНА, 2001. – 288с.
Демьянов, Б.С. Современный электронный документооборот (достоинства и недостатки) / Б.С. Демьянов // Вестник Тверского государственного университета. Сер.: Управление. 2005. № 3 (9). С. 42–47.
Документация в информационном обществе: административная реформа и управление документацией: докл.и сообщения на 11 Междунар.науч.-практ.конф., 23-25 нояб.2004г./ Росархив; ВНИИДАД; [редкол.: М.В.Ларин (председатель) и др.]. – М.: б.и., 2005. – 368с.
Документооборот как средство правового оформления хозяйственных операций / коммент., советы и рекомендации М.А. Климовой; [отв. ред. вып. Т.В. Кузнецов, А.Т. Гаврилов; ред.–сост. А.Т. Гаврилов, М.И. Посошкова]. – М., 2008. – 175с.
Жуков, Е.Ф., Жукова, Е.Ф., Банки и небанковские кредитные организации и их операции: Учебник – 2–е изд.,перераб. и доп. / Е.Ф. Жуков, Е.Ф., Жукова. – М: Издательство: Вузовский учебник, 2009. – 528.
Журавлева, Н. Система электронного документооборота: справочник на все случаи жизни / Н. Журавлева // Секретарское дело. 2007. № 07. С. 8–11.
Калугин, Е. Создание электронного государства России / Е. Калугин // Проблемы теории и практики управления: Междунар. журн/Междунар. науч.–иссл. ин–т проблем упр. – М. 2007. № 1 С. 63–74.
Киви Берд Простые истины [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 07 марта 2008г. – Режим доступа: http://www.computerra.ru/think/kiwi/350683/.
Киви Берд Паспорт в дивный новый мир [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» №16 от 28 апреля 2005 года Режим доступа: http://offline.computerra.ru/2005/588/38750/.
Ковалева, Н.Н. Информационное право России: учеб. Пособие / Н.Н. Ковалева. – М.: Дашков и К, 2007. – 360с.
Курбатов, А.Я. Банковское право России / А.Я. Курбатов. – М: Высшее образование, 2009. – с.560.
Лукацкий А. Управление зоопарком безопасности [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 28 января 2009г. – Режим доступа: http://www.computerra.ru/397075/?phrase_id=10718682.
Майстрович, Т.В. Электронный документ в библиотеке: науч.–метод. Пособие / Т.В. Майстрович. – М.: Либерея–бибинформ, 2007. – 144с.
Максимович, Г.Ю. Комплексный подход к внедрению информационных технологий во все сферы документационного обеспечения управления / Г.Ю. Максимович В.И. Берестова // Секретарское дело. 2006. № 11. С. 50–56.
Мамин, А.С. Юридическая ответственность и справедливость / А.С. Мамин // Вестник Белгородского университета потребительской кооперации ИздательствоБелгородский университет потребительской кооперации. – М. 2006. № 2. – С. 305–307.
Оноприенко, В.В. Электронная цифровая подпись. Состояние и перспективы использования / В.В. Оноприенко Ю.И. Горбенко // Инновации. 2007. № 8 (106). С. 119–120.
Оформление трудовых отношений: сб.нормат.актов с правовым комментарием [по состоянию на 10 дек.2006г.]: учтены последние изменения в Трудовом кодексе РФ (ФЗ от 30.06.2006 №90-ФЗ «О внесении изменений в Трудовой кодекс РФ») и в других нормат.актах/ [сост.и коммент.М.Н.Микушиной]. – Новосибирск: Сиб.унив.изд-во, 2007. – 528с.
Правовое обеспечение информационной безопасности / под ред.С.Я.Казанцева. – М.: Академия, 2007. – 240с.
Предотвращение сетевых атак: технологии и решения [Электронный ресурс]: Электронное издание. – HackZone Ltd 14.07.2009. – Режим доступа: http://www.hackzone.ru/articles/view/id/5962/
Проблемы развития и внедрения информационных технологий: материалы Междунар. науч.–практ. конф., г.Чебоксары, 26 янв. 2007г. / Чувашский государственный университет им. И. Н. Ульянова (Чебоксары); ред. Л. П. Кураков. – Чебоксары: [Изд–во ЧГУ], 2007. – 236с.
Пыхтин, С.В. Правовой режим коммерческой тайны//Закон. –2005. – №2. – С.94-99.
Рябова, А.Ф., Коробов Ю.И., Банковское дело / А.Ф. Рябова, ред., Г.Г. Коробова, Р.А. Карпова. – М: ЭКОНОМИСТЪ, 2005. – с. 751.
Северин, В.А. Проблемы законодательного регулирования коммерчески значимой информации//Юрист. – М. – 2005. – №6 С.30-35.
Соколова, Г.А. Охрана коммерческой и служебной тайны в рамках трудовых отношений//Делопроизводство и документооборот на предприятии. – 2007. – №5. – С.56 - 69.
Скиба, О. Защита документа в системе электронного документооборота / О. Скиба // Секретарское дело. 2007. № 12. С. 23–26.
Соловяненко, Н. Заключение договоров с использованием электронных документов в системах электронной торговли / Н. Соловяненко // Хозяйство и право. 2005. № 3. С.50–58.
Способы авторизации [Электронный ресурс]: Электронное издание. – HackZone Ltd 07.01.2009. – Режим доступа: http://www.hackzone.ru/articles/view/id/4078/
Стародымов, А. Пелепец, М. Стираем память. Быстро, дистанционно [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 23 июля 2009г. – Режим доступа: http://www.computerra.ru/443845/?phrase_id=10718685.
Теория информационной безопасности [Электронный ресурс]: Электронное издание. – HackZone Ltd 14.07.2009. – Режим доступа: http://www.hackzone.ru/articles/view/id/5961/.
Федосеева, Н.Н. Сущность и проблемы электронного документооборота / Н.Н. Федосеева // Юрист: Научн.–практ. Журн / Изд. гр. «Юрист». – М. 2008. № 6 С. 61–64.
Федотов, Н.Н. Защита информации [Электронный ресурс]: Учебный курс (HTML–версия). / «ФИЗИКОН», 2001–2004. – Режим доступа: http://www.college.ru/UDP/texts/index.html#ogl.
Эриашвили, Н.Д. Финансовое право: Учебник для вузов / Н.Д. Эриашвили. – М: Экономистъ, 2008. – 353 с.
Якутик, Е. Защита сведений, составляющих коммерческую тайну работодателя, в связи с выполнением работником работы по совместительству //Хозяйство и право. – М. – 2007. – №5 С.117-124.
Ярочкин, В.И. Секьюритология: Наука о безопасности жизнедеятельности/ В.И.Ярочкин. – М.: Ось-89, 2000. – 400с.
Ярочкин, В.И. Системы защиты предпринимательства: защита от недобросовестной конкуренции / В.И.Ярочкин, Я.В.Бузанова. – М.: Академ.Проект; Фонд Мир, 2005. – 256с.
Ярочкин, В.И. Аудит безопасности фирмы: теория и практика / В.И.Ярочкин, Я.В.Бузанова. – Королев; М.: Парадигма; Академ. Проект, 2005. – 352с.
Ярочкин, В.И. Информационная безопасность / В.И.Ярочкин. – М.: Гаудеамус; Академ. Проект, 2004. – 544с.
Ярочкин, В.И. Основы безопасности бизнеса и предпринимательства / В.И.Ярочкин, Я.В.Бузанова. – М.: Академ. Проект; Фонд Мир, 2005. – 208с.
Ярочкин В.И. Коммерческая информация фирмы: Утечка или разглашение конфиденциальной информации? / В.И.Ярочкин. – М.: Ось-89, 1997. – 160с.













2