Министерство науки и высшего образования Российской Федерации

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ АВТОНОМНОЕ

ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«Национальный исследовательский университет ИТМО»
(Университет ИТМО)

Факультет ФТМИ

Образовательная программа 38.03.05

Направление подготовки (специальность) Бизнес-информатика

ОТЧЕТ

о учебно-ознакомительной практике.

Тема задания: Виды угроз безопасности. Методы защиты информации

Обучающийся Петров Илья Станиславович U33101

Руководитель практики от профильной организации: Цуканова Ольга

Анатольевна, профессор.
Руководитель практики от университета: Цуканова Ольга Анатольевна,
профессор

Санкт-Петербург
20 21

1
Оглавление.

Оглавление...............................................................................................................................................2
Введение....................................................................................................................................................3
1. Виды угроз информационной безопасности.....................................................................................5
1.1 Понятие информационной безопасности....................................................................................5
1.2 Угрозы информационной безопасности......................................................................................5
1.3 Принципы информационной безопасности................................................................................7
2. Средства и технологии информационных угроз............................................................................10
2.1 Вредоносные ПО и их влияние на информационные системы...............................................10
2.2 Факторы влияющие на уязвимость системы.............................................................................12
3. Методы и способы защиты информации........................................................................................14
3.1 Защита финансовой информации...............................................................................................14
3.2 Криптографические методы защиты информации..................................................................18
3.3 Контроль доступа как один из методов защиты информации................................................20
Заключение.............................................................................................................................................23
Используемые материалы...................................................................................................................24

2
 Введение

С каждым днём информационные технологии развиваются всё больше,

сильнее и быстрее, их роль постоянно растёт, следом за ролью растёт и
стоимость. В последние несколько десятков лет появились такие отрасли,
бизнесы и производства, которые состоят и зависят от одной лишь
информации почти на 100%. Ярким примером могут служить: рекламный
бизнес, дизайнерские агентства, технологии создания и написания
программного обеспечения и многое другое. Таким образом на стоимость
товара уже влияют не только цена рабочей силы, времени производства и
затраты сырья, но и стоимости технологии, стоимости информационных
ресурсов.

Значение информации невозможно переоценить, ведь она играет

большую роль не только в самих производственных процессах, но и является
костяком деятельности управленческих организаций, банковских
сообщества, страховых организаций и так далее. Во многих перечисленных
сферах информация представляет большой интерес для криминальных
сообществ. Кроме того, с ростом применения современных информационных
технологий в различных сферах становится возможным распространение
разных злоупотреблений, связанных с использованием вычислительной
техники, иначе говоря, «компьютерных» преступлений.

Преступники с завидной регулярностью достигают своей цели, и это не

с проста, зачастую таким злоумышленником может являться сам сотрудник
организации, не обязательно напрямую, он может являться обычным
информатором. В связи с данными факторами, организациям, которые
заинтересованы в сохранении тайн своей компании, технологий и данных,
просто необходимо серьёзно заботиться об информационной безопасности:
грамотно выбирать меры и средства информации от умышленного
разрушения, кражи, порчи, несанкционированного доступа,
3
несанкционированного чтения и копирования. Это делает проблемы защиты
информации как никогда актуальной.

Чтобы быть защищённым необходимо знать своего врага от и до, то

есть понимать, чем может быть атакована система и отдельный пользователь,
без этого знания невозможно выстроить комплексную и системную защиту.

4
 1. Виды угроз информационной безопасности
1.1 Понятие информационной безопасности
Информационная безопасность — это любые меры, которые
предпринимаются для сохранения и защиты информации и информационных
данных, в том числе оборудования и самой системы. Её основной задачей
является максимальное обеспечение защиты от внешних или внутренних
угроз, которые могут быть оказаны по отношению к системе, пользователю,
администрирующему персоналу и так далее.
1.2 Угрозы информационной безопасности
Угрозы информационной безопасности — это любой процесс или
любое действие, которые тем или иным образом способствуют краже,
блокированию, утечке, уничтожению, копированию или потере защищенной
информации, а также умышленно или неумышленно наносят ущерб
пользователям.
Существуют естественные и неестественные угрозы:
Естественные угрозы — это угрозы, вызванные воздействием
объективных физических процессов, природных явлений, неподконтрольных
человеку.
Естественные угрозы можно разделить на:
 естественные, т. е. различные осадки, магнитные бури,
природные явления в целом;
 технические, т. е. связанные с обработкой информации и
поддержкой информационных систем.
Искусственные угрозы делятся на:
 непреднамеренные;
 преднамеренные.
К непреднамеренным угрозам можно отнести:
 Случайные ошибки обслуживающего персонала или
пользователя объекта или ресурса.

5
  Недостаточно корректное выполнение сотрудниками своих
должностных инструкций и обязанностей, халатность.
 Ошибки, допущенные разработчиками при проектировании
объекта информации
Преднамеренная угроза может исходить от любого участника
обработки данных, как от персонала, так и от внешних пользователей, так
называемых "хакеров".
Хакер — это подкованный IT-специалист, который взламывает
различные информационные системы, преследуя собственные интересы или
по договоренности.
Существуют следующие виды угроз:
 несанкционированный ввод данных;
 несанкционированный доступ к информации повышенной
секретности.
 кража информации;
 копирование и кража программного обеспечения;
 несанкционированное использование автоматизированных
банковских систем;
 модификация или уничтожение данных на магнитных носителях;
Намеренные угрозы приводят к прямому раскрытию или изменению
данных, и их (угрозы) очень трудно выявить и доказать.
Преднамеренные угрозы обычно связаны с раскрытием или
изменением данных в системе. По способу осуществления такие угрозы
можно разделить на:
1. a) Информационный способ реализации угрозы:
1.1. Незаконное использование информации, ее распространение и
сбор;
1.2. изменение и нарушение идентификации адресата и его возможная
фальсификация;

6
 1.3. использование информации в качестве манипулятивного оружия;
1.4. использование СМИ для продвижения собственных интересов и
позиций, не совпадающих с государственными, политическими,
коммерческими и иными интересами. 2.
2. Реализация угроз техническими средствами:
2.1. изменение методов обработки информации;
2.2. изменение информации и данных, содержащихся в
информационных ресурсах, а возможно и полное их удаление;
2.3. Интеграция средств и ухищрений для хищения информации
(прослушка, взлом систем наблюдения и т. д.).
3. Физические виды угроз:
3.1. Кража, разрушение, уничтожение носителей информации;
3.2. физическое подавление сигналов, несущих информацию;
3.3. оказание давления (морального или физического) на сотрудников
предприятия.
4. организационные способы угроз:
4.1. преднамеренная продажа информационных систем, несущих
средства отслеживания или изменения информации;
4.2. незаконное препятствование доступу к информации;
4.3. несоблюдение действующих законов и нормативных актов,
касающихся информации;
4.4. пренебрежение обязательствами и соглашениями.
1.3 Принципы информационной безопасности
Для того чтобы избежать любых видов угроз, будь то естественные или
искусственные, в первую очередь необходимо придерживаться основ –
принципов информационной безопасности. Существуют различные их типы,
виды и классификации, вот некоторые из них:

 Целостность информационных данных. Способность информации

сохранять изначальный вид и структуру как в процессе хранения, как и
7
 после неоднократной передачи. Вносить изменения, удалять или
дополнять информацию вправе только владелец или пользователь с
легальным доступом к данным.
 Контроль над всеми операциями. Его суть заключается в том, чтобы
всегда и несмотря ни на что следить за всеми информационными
операциями и контролировать их, при этом имея возможность
незамедлительно среагировать на возможную угрозу и полностью, в
одностороннем порядке, заблокировать тел или иные действия и
возможности системы.
 Минимальные привилегии. Принцип работы этого правила состоит в
максимальном ограничении возможностей пользователя в рамках
данной системы или программы, оставляя только необходимый для его
работы функционал. При этом такое ограничение никак не должно
влиять на выполнение самой работы
 Запрещено всё, что не разрешено. Данное правило регулирует уровень
доступа каждого пользователя программы, бизнес процесса и пр.,
полностью запрещая или существенно ограничивая его возможность
действий в тех областях, без соответсвенного разрешения. Иными
словами, принцип заключается не в ограничении как таковом, а в
необходимости разрешений.
 Достаточная стойкость. Принцип работы данного правила заключен в
названии. Хакеры, злоумышленники и просто недоброжелатели на
пути к своей цели должны встречать существенные преграды,
например необходимость решения существенных вычислительных
задач при подборе пароля, что сделает время его идентификации
слишком большим, чтобы они остались незамеченными.
 Минимум идентичных процедур. Данный принцип заключается в
минимизации схожести каждого отдельного пользователя с другим
(наличие возможности в системе ввести одинаковые пароли, названия
уникальных файлов, программ и пр.). Это создаст злоумышленникам
8
 не только дополнительные преграды на пути к взлому, но и сделает
саму атаку менее масштабной.
 Простота использования информационных систем. Суть этого метода
заключается в максимальном упрощении самой системы: упрощение
начального кода, интерфейса, минимальная «ветвистость» программы,
— всё это убережёт как самих пользователей, так и администраторов
от лишних действий в системе, некоторые из которых способны
привести к ошибкам и нарушению работы всей программы.

9
 2. Средства и технологии информационных угроз
2.1 Вредоносные ПО и их влияние на информационные системы
Программы, которые потенциально могут иметь опасные последствия,
в Уголовном кодексе Российской Федерации называются "вредоносным ПО".
Вредоносное ПО – такое программное обеспечение, которое
специально сконструировано и создано для получения
несанкционированного к персональной информации пользователя,
организации и пр.
Его функциональность может быть следующей:
- Скрытие своего присутствия;
- Самокопирование или подмена на другие программы;
- Уничтожение, повреждение или взлом программного кода.
Вредоносные программы можно условно разделить на:
- компьютерные вирусы;
- черви, троянские кони и логические бомбы;
- программные закладки или деструктивные программные воздействия.
Компьютерный вирус — это специальная программа, которая способна
внедряться в информационную систему устройства, "приписываться" к
другим программам, заражать их, препятствовать стабильной и корректной
работе ПК, повреждать и портить файлы, замедлять работу всей системы.
Как правило, вирусная программа работает достаточно быстро, чтобы быстро
захватить всю систему и управлять ею в интересах автора вируса.
Вот лишь некоторые из основных типов вирусов:
Троянский конь (Троян) - вредоносная программа, которая очень
похожа на бомбу замедленного действия. Изначально она не причиняет
никакого вреда, просто "сидит" в системе, заражая файлы, которые затем
могут быть отправлены через Интернет, с внешних носителей. Троян может
10
находиться в абсолютно различных формах от бесплатных программ в
интернете, файлов с музыкой, рекламы в браузерах до приложений и даже
целых программных обеспечений. Появлению трояна может способствовать
любое неосторожное действие пользователем в интернете. В определенный
момент времени, даты, по команде извне троян сработает и начнутся
необратимые процессы для всей системы. Эта программа ставит под угрозу
сохранность всей системы и всех файлов.
"Червь" — это вредоносная программа, которая распространяется через
Интернет или локальную сеть. Такая программа заражает другие программы,
но не имеет возможности и способности к самовоспроизведению. В отличие
от "троянского коня", компьютерный червь проникает в систему, не зная
никакой информации о пользователе, создавая свои копии на рабочих
станциях сети. В связи с повсеместным распространением Интернета
"Логические бомбы" - такая компьютерная программа, которая наносит
файлам и компьютерной системе необратимый ущерб. Она используется для
искажения или уничтожения информации до того, как все файлы будут
стерты и/или машина будет повреждена. В принципе, похожа на троянского
коня, но в отличие от него всегда направлена на уничтожение или частичное
стирание файлов.
Программная закладка — это специальная скрытая программа,
встроенная в защищенную систему, которая позволяет злоумышленнику
получить несанкционированный доступ к определенным системным
ресурсам (в частности, к конфиденциальной информации) путем изменения
свойств системы защиты.
Чтобы закладка нормально функционировала и выполняла свои
функции, она должна взять управление на себя, то есть заставить процессор
выполнять команды, относящиеся к коду закладки. Это возможно при
соблюдении следующих двух условий:
1. Закладка должна находиться в оперативной памяти до того, как
начнет выполняться программа, на которую направлено воздействие
11
закладки;
2. Закладка должна быть активирована единым событием для закладки
и программы, т. е. при выполнении ряда условий в аппаратно-программной
среде управление должно быть передано программе - "закладке". Это
событие называется активирующим событием.
После получения интересующей информации злоумышленник
восстанавливает рабочую среду в исходное состояние и использует
перехваченную информацию сам или передает ее третьим лицам. Таким
образом, для реализации непрямого проникновения (с использованием
закладок) необходимо несколько условий: физический доступ к аппаратным
компонентам банковской системы, достаточное время и высокая
квалификация злоумышленника. Из этого следует, что нарушителем может
быть сотрудник самой организации, имеющий доступ к ее программному
обеспечению и ПК, или сотрудник информационно-телекоммуникационных
служб, технического обслуживания и ремонта.

2.2 Факторы влияющие на уязвимость системы

Основными факторами, которые могут не только не защитить

информацию, но и ухудшить ее безопасность, являются:

 Увеличение количества накапливаемой информации, которая

обрабатывается компьютерами;

 Накапливание информации различного качества и назначения в

единых и общих базах данных;

 Увеличение круга лиц среди пользователей, которые обладают

доступам к корневым вычислительным системам и
содержащимся там объёмам массивов данных;

12
  автоматизация межмашинного обмена информацией, в том числе
на больших расстояниях.

Риск и угроза от несанкционированных действий в вычислительных

системах являются абсолютно реальными, и с каждым новым витком
развития компьютерных технологии и техники угроза повреждения
информации также растёт. Всё это обуславливает необходимость
углубленного анализа опыта защиты информации и комплексной
организации методов и механизмов защиты.

13
 3. Методы и способы защиты информации.
3.1 Защита финансовой информации
Защита деловой информации, как часть услуг по обеспечению
безопасности бизнеса подразумевает, что возможные противоправные
посягательства на информацию могут иметь различные аспекты. В связи с
этим эффективная защита информации должна обеспечиваться по всей
системе рабочих направлений, каждое из которых имеет свой механизм
защиты.
Одним из таких направлений является эффективное обеспечение
сотрудниками компании корпоративной экономической безопасности,
которое включает в себя три этапа работы с персоналом, имеющим доступ к
конфиденциальной информации:
1. предварительный (до приема на работу);
2. текущий (в рабочее время);
3. заключительный (в момент увольнения сотрудника).
Предварительный этап является самым важным и, соответственно,
более сложным. Сначала на основе описания должности и должностных
инструкций разрабатываются требования к кандидату на должность. Они
включают в себя не только стандартные требования: пол, возраст,
образование, опыт работы, но и ряд поведенческих и когнитивных
способностей, которыми должен обладать кандидат. Это позволяет
определить, какой персонал нужен компании, а самому кандидату - сравнить

14
свои способности с теми, кто в нем нуждается.
Затем проводится отбор кандидатов на вакантную должность.
Варианты отбора кандидатов могут быть различными. Предпочтение следует
отдавать методам, которые снижают вероятность проникновения
безразличных людей или представления интересов конкурентов или
злоумышленников. К ним относятся:
 Связь с кадровыми агентствами, агентствами по трудоустройству
и другими подобными организациями;
 Рекрутинг среди студентов и аспирантов;
 Подбор кандидатов по рекомендациям компаний-партнеров;
Подбор персонала на основе случайного упоминания компании может
представлять экономическую угрозу в будущем.
Целесообразно, особенно при случайном отборе кандидатов,
обратиться на их предыдущие места работы, чтобы получить описание их
поведения и деловых способностей, а также данные об отмененных
судимостях.
После согласования документов кандидата с ним проводится
собеседование сотрудниками отдела кадров. Кандидат заполняет анкету,
отвечает на вопросы, в том числе профессиональные вопросы и
психологические тесты. Следует отметить, что психологические качества
кандидата не менее важны, чем профессиональные. Психологический отбор
выявляет не только взгляды и поведение кандидата, но и его слабые стороны,
психическую устойчивость, возможные склонности и умение хранить
секреты.
Если кандидат успешно сдал экзамен и признан компетентным для
соответствующей должности, подписываются два документа:
 Трудовое соглашение (контракт). Договор должен содержать
положение об обязательстве работника не разглашать
конфиденциальную информацию (коммерческую тайну) и
соблюдать меры безопасности;
15
  Соглашение (обязательство) о неразглашении конфиденциальной
информации (коммерческой тайны), которое представляет собой
юридический документ, в котором кандидат на вакантную
должность обещает не разглашать информацию, которая будет
раскрыта ему во время работы в компании, а также
ответственность за разглашение информации или несоблюдение
правил безопасности (расторжение контракта и судебные
процедуры).
Непосредственная деятельность нового сотрудника контролируется с
целью проверки соответствия занимаемой должности и соблюдения правил
конфиденциальности. Поэтому все начинается с испытательного срока, по
окончании которого принимается окончательное решение о приеме
кандидата на данную должность.
При этом необходимо определить порядок доступа сотрудников к
конфиденциальной информации (коммерческой тайне). Все сотрудники
компании, работающие с конфиденциальной информацией, имеют право
знакомиться с ней только в объеме, предусмотренном их должностными
инструкциями.
Все сотрудники компании, работающие с конфиденциальной
информацией, имеют право знакомиться с ней только в объеме,
предусмотренном их должностными обязанностями и необходимом для
работы. При этом каждая должность должна предусматривать право на
получение определенного объема конфиденциальной информации,
превышающего тот объем, который будет считаться нарушением договора и
представлять угрозу безопасности компании. Размер этого списка
определяется главой компании или специальным комитетом.
Соответственно, каждый сотрудник получает доступ к конфиденциальной
информации по своему уровню доступа.
Третий шаг - увольнение сотрудника, имевшего дело с
конфиденциальной информацией, также может представлять угрозу
16
экономической безопасности. Уволенный сотрудник, не имеющий контракта
с компанией, может поделиться ценной информацией с конкурентами и
злоумышленниками. Чтобы снизить риск таких последствий, работника
предупреждают о недопустимости использования информации в своих
интересах или в интересах других лиц после увольнения и подписывают
обязательство не разглашать конфиденциальную информацию
(коммерческую тайну) после увольнения. В противном случае все убытки,
понесенные компанией в результате разглашения информации, могут быть
взысканы в судебном порядке.
Учитывая российскую специфику, основные способы защиты
информации, которые могут быть использованы предпринимателями,
следующие
1. Законодательный. Основан на соблюдении прав на
конфиденциальную информацию, содержащихся в российском
законодательстве.
Главные законы об информации и информационной безопасности.

68-Федеральный Закон - Дает определение электронной подписи,

помогает подтвердить подлинность информации и избежать ее искажения и
подделки.

149- Федеральный Закон Об информационной безопасности —

устанавливает основные права и обязанности, касающиеся информации и
информационной безопасности.

152- Федеральный Закон — описывает правила работы с

персональными данными.

98- Федеральный Закон — определяет, что относится к коммерческой

тайне компаний.

Если вы обнаружили нарушение своих прав как владельца

17
информации, необходимо обратиться в соответствующие органы (МВД,
ФСБ, прокуратуру, суд) для восстановления своих прав. Нарушение,
возмещение ущерба и так далее.
2. Физическая безопасность - охрана, контроль доступа, карты
доступа для третьих лиц, использование запертых помещений, сейфов,
шкафов и т. Д.
3. организационная. Включает в себя:
3.1. Отображение статуса или создание службы, отвечающей за
отнесение информации к конфиденциальной, с учетом правил доступа и
использования этой информации;
3.2. разделение информации по степени конфиденциальности и
организация доступа к конфиденциальной информации только по ситуации
или с разрешения регулятора.
4. технические. В качестве таких систем контроля и безопасности
используются устройства сигнализации, видеокамеры, микрофоны, системы
идентификации и программное обеспечение для защиты компьютерных
систем от несанкционированного доступа.
5. Кадровая работа. Она охватывает работу сотрудников компании
по найму, аттестации, обучению, переводу, продвижению, мотивации
сотрудников. В нем обязательно должна быть краткая информация о
необходимости соблюдения правил использования конфиденциальной
информации и об ответственности за нарушения.
3.2 Криптографические методы защиты информации
Метод преобразования в криптографической системе основан на
использовании специального алгоритма. Этот алгоритм запускается
уникальным числом (последовательностью битов), которое часто называют
ключом шифрования.
Для многих систем составителем ключа может быть набор инструкций
и команд, или отдельное приложение, или компьютерная программа, или и
то, и другое, но в любом случае шифрование реализуется только
18
специальным ключом. Для успешного обмена зашифрованными данными и
отправитель, и получатель должны знать систему ключей достаточно
хорошо, чтобы сохранить ее конфиденциальность.
Надежность любой закрытой системы связи определяется степенью
конфиденциальности используемого в ней ключа. Однако этот ключ должен
быть известен другим пользователям сети, чтобы они могли свободно
обмениваться зашифрованными сообщениями. В этом смысле
криптографические системы также помогают решить проблему
аутентификации (проверки подлинности) получаемой информации.

Злоумышленник в случае перехвата сообщения будет иметь дело

только с зашифрованным текстом, а истинный получатель будет надежно
защищен от возможной угрозы, получая закрытые сообщения с указанным
для него и отправителя ключом.
Существует несколько различных алгоритмов криптографической
защиты информации. Среди них алгоритмы DES и Rainbow (США); FEAL-4
и FEAL-8 (Япония); B-Crypt (Великобритания). Криптоалгоритмы типа ГОСТ
28147–89 (Россия) и ряд других, разработанные зарубежными и
отечественными производителями программных и аппаратных средств
защиты.
На сегодняшний день наиболее перспективными системами
криптографической защиты данных являются асимметричные
криптосистемы, называемые также системами с открытым ключом. Их суть
заключается в том, что ключ, используемый для шифрования, отличается от
ключа дешифрования. В этом случае ключ шифрования не является
конфиденциальным и может быть известен всем пользователям программы.
Однако удаление с известным ключом шифрования невозможно. В
частности, для расшифровки используется секретный ключ. Зная открытый
ключ, невозможно определить секретный ключ. Следовательно,
расшифровать сообщество может только получатель, имеющий этот пароль.
19
  Асимметричные криптографические системы являются наиболее
перспективными, поскольку они не требуют передачи ключей
другим пользователям и легко реализуются как аппаратными, так
и программными методами.
 Принципы защиты информации, шифрования и дешифрования
связаны с шифруемыми объектами и процессами, их свойствами
и важными особенностями передачи. Такими объектами и
процессами могут быть материалы, источники, нагрузки,
сообщения, блоки информации. Помимо соображений
безопасности, шифрование, увеличивающее скорость обмена к
данным, позволяет определить скорость и доступ к любому типу
продуктов и услуг, страну происхождения и т. Д.
 Совместная работа, кодирование, шифрование и безопасность
данных предотвращают снижение реальной производственной
информации и процессов программирования, передачи ресурсов,
денег и других потоков и, следовательно, способствуют
необходимости принятия производственных и управленческих
решений.
3.3 Контроль доступа как один из методов защиты информации
Контроль доступа как способ защиты информации — это способ
защиты информации путем оптимизации использования всех ресурсов
системы (технологии, программного обеспечения, элементов данных).
Контроль доступа включает в себя следующие функции безопасности:
 доказательство полномочий, включая доказательство
ответственности времени, источников и процедур в процессе
создания;
 авторизация и создание условий работы в рамках (и только в
рамках) установленного процесса;
 выдача (оплата) разрешений на использование источников
безопасности;
20
  реакция (задержка обслуживания, отключение, сигнализация) в
случае попытки несанкционированных действий.
 идентификация пользователей, персональных ресурсов и
программ, причем под идентификацией понимается присвоение
каждому объекту персонального идентификатора (имя, код и т.
д.) и опознавание (установление подлинности);
 Наиболее распространенный способ настройки:
 Аутентификация — это процесс идентификации паролей. Она
отличается простотой реализации и использования и низкой
стоимостью. Пароль — это строка символов, которую
пользователь должен ввести (набрать, напечатать на клавиатуре).
Если пароль совпадает с тем, что хранится в памяти,
пользователь может использовать всю информацию, к которой
ему предоставлен доступ. Пароль также может использоваться
самостоятельно для защиты файлов, записей, баз данных между
записями и т. д. Существует несколько типов паролей: простой
пароль, одноразовый пароль, пароль, основанный на методе
"вопрос-ответ", пароль, основанный на определенном алгоритме.
Простой пароль. Система простых паролей очень проста в
использовании: пользователь вводит пароль только с помощью клавиатуры,
после подсказки и компьютерной программы (или преимущество этого
метода в том, что нет необходимости записывать пароль. Простой, надежный
и легко удаляемый - этот метод рекомендуется, когда защита данных
осуществляется с минимально возможными затратами и расходами.
Использование одноразовых паролей. При использовании одноразовых
паролей пользователю выдается список из N паролей, которые хранятся в
памяти компьютера (обычно в сохраненном виде). После использования
пароль удаляется из памяти и исключается из списка. В этом случае перехват
становится недействительным. Преимущество этого метода заключается в
большей безопасности, но он также более сложен.
21
 Метод "вопрос-ответ" В этом методе пользователь должен дать
правильные ответы на ряд вопросов, хранящихся в памяти компьютера.
Иногда пользователям задают большое количество вопросов, и им нужны
ответы на те, которые они выбирают сами. Преимущество этого метода в
том, что пользователь может сам выбирать требования, и это обеспечивает
очень хороший уровень безопасности при переходе на ту или иную услугу.
Пароль на основе алгоритма. Пароль определяется на основе
алгоритма, хранящегося в памяти компьютера и известного пользователю.
Такой процесс часто называют "манипуляцией". Метод заключается в том,
что программа выводит на экран идентификационный номер, а затем
пользователь, с одной стороны, и компьютер, с другой, вычисляют пароль в
соответствии с алгоритмом. Процесс перебора обеспечивает большую
безопасность, чем большинство других концепций, но при этом очень сложен
и требует много времени от пользователя.
Парольные методы часто используются в системах защиты
информации. Они отличаются простотой, низкой стоимостью реализации,
малыми затратами компьютерного времени и занимают небольшой объем
памяти. Парольная защита широко распространена, но часто оказывается
безуспешной.

22
 Заключение

Информация и статистика, поступающая из стран по всему миру,

показывает, что убытки, которые приносят неправомерные действия в
отношении информации и информационных ресурсов непрерывно
возрастают, причём весомая часть таких убытков возникает из-за отсутствия
комплексного подхода к защите информации, отсутствием взаимосвязи
между системами защиты. Только лишь при комплексном решении средства
по защите информации способны обеспечить надёжность хранения и
целостность данных.

С каждым днём средства и методы атак на информацию меняются,

эволюционируют и адаптируются. Это говорит лишь о том, что средства по
защите информации должны эволюционировать не просто в след за
методами её добычи, а опережать их, ведь только так возможно эту
информацию надёжно оборонять!

23
Используемые материалы
1. Криптографические методы защиты информации : практикум
по курсу "Криптографические методы защиты информации" для студентов,
обучающихся по направлению 01.03.02 "Прикладная математика и
информатика" / П. Б. Хорев ; Министерство науки и высшего образования
Российской Федерации, Национальный исследовательский университет
"МЭИ". - Москва : Изд-во МЭИ, 2020. - 52 с.
2. Криптографические методы защиты информации [Текст] :
учебное пособие для курсантов и слушателей образовательных организаций
системы МВД России, сотрудников органов внутренних дел Российской
Федерации / [О. С. Авсетьев, В. В. Солдатов, В. Н. Думачев и др.] ;
Воронежский институт МВД России. - Воронеж : Воронежский ин-т МВД
России, 2019. - 199 с.
3. Методы и средства защиты информации : учебно-методическое
пособие / В. А. Рындюк ; Министерство науки и высшего образования
Российской Федерации, Федеральное государственное автономное
образовательное учреждение высшего образования Санкт-Петербургский
государственный университет аэрокосмического приборостроения. - Санкт-
Петербург : ГУАП, 2021. - 86 с. 
4. Модели и методы оценки эффективности
систем защиты информации и обоснование выбора их комплектации :
автореферат дис. ... кандидата технических наук : 05.13.19 / Коломойцев

24
Владимир Сергеевич; [Место защиты: С.-Петерб. гос. ун-т
телекоммуникаций им. М.А. Бонч-Бруевича]. - Санкт-Петербург, 2018. - 20 с.
5. Оценка эффективности информационных процессов в
автоматизированных информационных системах в условиях воздействия
различных видов угроз нарушения безопасности информации [Текст] :
монография / [Мещерякова Т. В., Скрыль С. В., Демченко Ю. П., Арутюнова
В. И.] ; Воронежский институт МВД России. - Воронеж : Воронежский ин-т
МВД России, 2018. – 85с
6. Информационная безопасность : учебник / О.Г. Швечкова,
С.И. Бабаев. - Москва : КУРС, 2021-. Ч. 1 : Теоретические основы. - 2021. -
142 с.
7. Информационная безопасность и принципы её обеспечения
Статья от 11.08.2018. https://cyberleninka.ru [Интернет ресурс] – Режим
доступа: https://cyberleninka.ru/article/n/informatsionnaya-bezopasnost-i-
printsipy-ee-obespecheniya/viewer (Дата обращения: 11.12.2021) Автор:
Северцев Н.А.
8. Безопасность промышленных информационных систем виды
угроз и общие принципы защиты информации Статья от 03.08.2016.
https://cyberleninka.ru [Интернет ресурс] – Режим доступа:
https://cyberleninka.ru/article/n/bezopasnost-promyshlennyh-informatsionnyh-
sistem-vidy-ugroz-i-obschie-printsipy-zaschity-informatsii/viewer (Дата
обращения: 02.12.2021) Автор: Винокурова О.А. / Шибарова Е.В.

25