Elettracompany.com

Компьютерный справочник
5 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Направления защиты информации

Направления защиты информации

Направления защиты информации рассматриваются в качестве нормативно-правовых категорий, которые определяют комплексные мероприятия по защите информации на уровне отдельной личности, на уровне предприятия, а также на уровне государства в целом.

Учитывая сложившуюся практику обеспечения информационной безопасности, можно выделить следующие направления защиты информации:

  1. Правовая защита. Она содержит специальные законы, нормативно-правовые акты, мероприятия, процедуры и правила, которые обеспечивают защиту информацию на правовом уровне.
  2. Организационная защита. Данное направление защиты информации подразумевает регламентацию производственной деятельности и взаимных отношений исполнителей на нормативно-правовой основе, которая ослабляет или полностью исключает нанесение возможного ущерба исполнителям.
  3. Инженерно-техническая защита. Это направление информационной защиты включает использование различных технических средств, которые препятствуют нанесению ущерба деятельности.

Попробуй обратиться за помощью к преподавателям

Рисунок 1. Направления обеспечения защиты информации. Автор24 — интернет-биржа студенческих работ

Те защитные действия и мероприятия, которые ориентированы на обеспечение защиты информации, характеризуются множеством параметров, которые кроме направлений отражают ориентацию на объекты защиты, способы действий, характер угроз, их распространенность, масштабность и охват.

Рисунок 2. Характеристика защитных действий. Автор24 — интернет-биржа студенческих работ

Задай вопрос специалистам и получи
ответ уже через 15 минут!

Защитные действия по характеру угроз ориентированы на защиту информации от разглашения, несанкционированного доступа и утечки. По способам действий их можно классифицировать на выявление, обнаружение, предупреждение, пресечение, а также восстановления убытков. Защитные действия по охвату ориентируются на здание, территорию, аппаратуру, конкретное помещение. Масштабность мероприятий по защите информации может быть, как объектовая, групповая, индивидуальная.

Рассмотрим главные направления защиты информации.

Правовое направление защиты информации

Правовая защита информации включает в себя совокупность общеобязательных норм и правил поведения, которые санкционированы или установлены государством по отношению к определенным сферам жизни и деятельности населения, предприятий и государственных органов.

Правовое направление защиты информации как ресурса признано на государственном и международном уровне и определено межгосударственными конвенциями, договорами и декларациями. Реализуется правовая защита авторским правом, патентами, а также лицензиями на защиту информации. Правовая защита на государственном уровне регулируется ведомственными и государственными актами.

Рисунок 3. Правовая защита информации. Автор24 — интернет-биржа студенческих работ

В Российской Федерации такими актами являются законы, Конституция, уголовное, административное и гражданское право, что изложены в соответствующих кодексах. Ведомственные нормативные акты определяются руководствами, приказами, положениями и инструкциями, которые издаются конкретным предприятием и действуют в рамках определенных структур.

Существует такая структура правовых актов, которые ориентированы на правовую защиту информации:

  • Первым блоком является конституционное законодательство. Сюда относятся нормы, что касаются защиты информации и информатизации, и входят в него как составные элементы.
  • Ко второму блоку относятся общие закона и кодексы, которые включают нормы по вопросам информационной безопасности (о недрах, земле, собственности, гражданстве, правах граждан).
  • К третьему блоку можно отнести законы по организации управления, которые касаются отдельных структур экономики, хозяйства и системы государственных органов. Эти законы содержат отдельные нормы по правовой защите информации и должны устанавливать обязанности конкретного органа по актуализации, формированию и безопасности той информации, которая представляет общегосударственный интерес.
  • Четвертый блок – это специальные законы, которые полностью относятся к конкретным отраслям, сферам отношений, процессам.
  • Пятый блок – это законодательство субъектов РФ, которое касается защиты информации.
  • Шестой блок содержит подзаконные нормативно-правовые акты по защите информации.
  • К седьмому блоку относятся правоохранительное законодательство РФ, которое содержит нормы ответственности за нарушения в сфере информатизации.

Законодательство в сфере безопасной информационной деятельности представлено комплексом законов. Особое месте в их составе принадлежит Закону «Об информации, ее защите и об информационных технологиях» — он закладывает основы правового определения всех важных компонентов информационной деятельности. К ним можно отнести:

  • информацию и информационные системы;
  • субъектов, которые являются участниками информационных процессов;
  • правоотношения потребителей и производителей информационной продукции;
  • владельцев информации.

Правовые меры обеспечения защиты информации и ее безопасности являются основой порядка деятельности и поведения работников организации, а также определяют меры их ответственности за нарушение установленных норм.

Организационное направление защиты информации

Организационная защита информации – это регламентация деятельности и отношений исполнителей на нормативно-правовой основе, которая существенно затрудняет или полностью исключает неправомерное получение информации, а также проявление внешних и внутренних угроз.

Благодаря организационной защите можно обеспечить:

  • организацию режима, охраны, а также работу с кадрами и документацией;
  • применение технических средств безопасности, а также информационно-аналитической деятельности по выявлению внешних и внутренних угроз предпринимательства.

Организационные мероприятия играют ключевую роль в формировании надежного механизма защиты информации, поскольку несанкционированное использование сведений обусловлено не техническими аспектами, а злоумышленными действиями, небрежностью и халатностью персонала защиты. При помощи технических средств избежать влияния этих аспектов практически невозможно.

Для этого необходимо применить совокупность организационно-технических и организационно-правовых мероприятий, которые бы исключили возможность возникновения опасности защищаемой информации.

К основным организационным мероприятиям относятся:

  • должная организация охраны и режима;
  • организация работы с работниками компании, которая предусматривает расстановку и подбор кадров, включая ознакомление с ними, а также обучение правилам работы с конфиденциальной информацией и уведомление о мерах ответственности за нарушение правил по защите информации;
  • организация работы с документацией, включая организацию разработки и использование носителей конфиденциальной информации, а также их учет, хранение и уничтожение;
  • организация работы по применению технических средств сбора, обработки и хранения конфиденциальной информации;
  • организация работы по проведению анализа внешних и внутренних угроз информации, а также разработка мероприятий по обеспечению ее защиты;
  • организация надлежащего контроля за работой персонала с конфиденциальной информацией.

Рисунок 4. Организационная защита информации. Автор24 — интернет-биржа студенческих работ

Инженерно-техническое направление защиты информации

Инженерно-техническая защита – это совокупность технических средств, мероприятий и специальных органов, а также их использование с целью защиты информации.

Многообразие задач, целей, проводимых мероприятий и объектов защиты предполагает рассмотрение системы классификации средств по ориентации, виду и другим характеристикам. Например, средства инженерно-технической защиты информации можно изучать по объектам их воздействия. В этом плане они могут использоваться для защиты людей, финансов, материальных средств, а также информации.

Рисунок 5. Классификационная структура инженерно-технической защиты. Автор24 — интернет-биржа студенческих работ

Благодаря многообразию классификационных характеристик, можно рассматривать инженерно-техническое направление защиты информации по характеру мероприятий, объектам воздействия, масштабу охвата, способам реализации, а также классу средств мошенников, которым оказывается противодействие со стороны службы безопасности.

Так и не нашли ответ
на свой вопрос?

Просто напиши с чем тебе
нужна помощь

Направления информационной безопасности

Защита данных
с помощью DLP-системы

О беспечение информационной безопасности становится сложнее и актуальнее по мере развития цифрового мира. Новые направления защиты информации из кабинетов разработчиков переходят в сферу практического применения.

Составляющие информационной безопасности

Защита информации актуальна и для государства в целом, и для отдельных отраслей экономики или компаний. С практической точки зрения понятие информационной безопасности меняется по мере изменений в мире, некоторые направления защиты информации уходят в прошлое, возникают новые. Отдельной задачей становится противодействие прямым информационным вмешательствам в деятельность страны или бизнеса, осуществляемое на стыке PR и GR. Научные исследования в области защиты информации перестают быть теоретическими.

Задачи усложняются, многие из них лежат в совершенно новых сферах, среди которых:

  • геополитическое доминирование;
  • разработка кибероружия;
  • криптовалюты и токены;
  • телемедицина;
  • среда виртуализации.

Отечественные разработчики не всегда успевают за развитием технологий, но каждый год на рынке появляются новые продукты, позволяющие решить задачи информационной безопасности.

Направления развития информационной безопасности

Защита информации не является задачей только компании. Главной целью Доктрины информационной безопасности названа совместная охрана интересов личности, общества и страны в информационной сфере. Деятельность организаций в области защиты информации опирается на созданную государством прочную основу в виде контроля за российским сектором Интернета, развития отечественного рынка программного обеспечения и электронного оборудования. В этих условиях появляются новые основные направления информационной безопасности. Эксперты, работающие в этой сфере, говорят, что в ближайшие пять лет ситуация изменится еще более радикально. С учетом быстрого развития в сфере защиты информации сейчас выделяется несколько актуальных направлений.

Безопасность критически важных объектов

Принятый в ходе реализации Доктрины информационной безопасности Российской Федерации закон о критической информационной инфраструктуре ввел понятие критически важных объектов (КВО). Эксперты иногда определяют их как критически важные информационные системы.

К ним относятся:

  • системы управления государственными и правоохранительными органами, МЧС, системы обеспечения пожарной и военной безопасности;
  • информационная инфраструктура кредитно-финансовых учреждений;
  • системы связи, спутниковые, географические, навигационные системы;
  • системы управления ресурсоснабжающими организациями (электростанциями, водоканалами);
  • системы управления транспортом;
  • системы управления опасными объектами.

Представляющие высокую значимость для страны и, соответственно, интерес для потенциальных противников объекты и автоматизированные системы управления ими требуют особого внимания к выстраиванию концепции защиты информации и обеспечению безопасности, как экономической, так и экологической. Информационно-телекоммуникационные системы, действующие в составе КВО, защищаются по нормативам, установленным приказами ФСТЭК РФ. Попытки перехвата управления такими системами и увеличение количества объектов и их сложности в процессе экономического роста требуют повышенного внимания к развитию этого направления защиты информации и обеспечения безопасности объектов критической инфраструктуры.

Разработка кибероружия

Защита информации базируется не только на создании нескольких уровней безопасности, но и на разработке превентивных мер, которые снизят риск посягательства на критически важные системы. Разработка собственного кибероружия гарантирует обеспечение безопасности, так как риск ответного удара может оказаться серьезным. Поэтому при наличии собственных инструментов нападения количество внутренних и внешних угроз может снизиться.

Помимо решения текущих методологических и кадровых задач, которые требуют высокой компетенции от специалистов, необходимы новые разработки. Одной из них может стать аналог программных продуктов компании Ntrepid, позволяющих моделировать сетевые дискуссии. Такое решение актуально перед выборами или голосованием по вопросам, существенно важным для государства.

Облачная безопасность

Многие компании отказываются от хранения информации на серверах и перемещают ее в облако. Там же чаще всего находится информация, обрабатываемая при работе программных продуктов для малого бизнеса, бухгалтерских и CRM-систем. Часто, особенно при размещении в облачных системах персональных данных, возникает вопрос об их защищенности в соответствии с требованиями законодательства и возможности несанкционированного доступа к информации. Эта задача пока не решается на законодательном уровне и становится вопросом частной договоренности между предприятием и владельцем облачной системы хранения.

Читать еще:  Реверс массива php

В этой сфере существует множество нерешенных вопросов в области:

  • нормативно-правового регулирования;
  • технического обеспечения, разработки новых средств защиты информации;
  • организационного взаимодействия.

Регулирование защиты информации в облаке и обеспечение безопасности данных должно стать одним из важнейших направлений развития информационной безопасности для корпоративного сектора в ближайшее время.

Добровольная сертификация в области ИБ

Обеспечение информационной безопасности компании основывается и на использовании программных продуктов, получивших сертификаты, определяющие их качество, от ФСТЭК и ФСБ. Но эксперты, работающие на корпоративном рынке, обращают внимание на то, что государственная система сертификации не решает все задачи бизнеса. Инженерно-техническая защита информационных сетей компаний требует применения и других программных продуктов, кроме рекомендованных, а их система оценки не входит в компетенцию государственных учреждений. Необходимо развитие систем добровольной сертификации.

Работа в этом направлении начата в рамках проекта «КАСКАД Телеком», который создал собственный Орган по сертификации систем менеджмента качества (ОС СМК), аккредитованный в системе «Военный регистр». Получение такого или любого иного добровольного сертификата, например, выданного ВГУП «ВНИИМС» гарантирует обеспечение надлежащего уровня информирования IT-специалистов компаний в части возможности применения того или иного программного решения.

Противодействие мошенничеству в финансово-кредитной сфере

Фишинг и другие мошеннические методы списания средств с платежных карт граждан стали повседневной реальностью. Информационные системы банков постоянно страдают от хакерских атак. Разработка стандартов обеспечения их информационной безопасности возложена на ЦБ РФ, но выбор средств и методов остается за кредитным учреждением.

Развитие информационной безопасности в финансовой сфере актуально и для банков, и для компаний, желающих дополнительно обезопасить активы и массивы конфиденциальной информации, содержащие архив финансовых трансакций. Эти же меры, технические и аппаратные средства, могут быть использованы для защиты электронной коммерции.

Противодействие угрозам предполагает:

  • защиту каналов удаленного доступа, трафика передачи финансовой конфиденциальной информации;
  • создание доверенной среды на аппаратных средствах клиента при помощи TrustScreen или Mac-токенов;
  • разработку и внедрение процессов борьбы с мошенничеством, направленным на воровство средств;
  • мониторинг всех трансакций, который среди сотен тысяч проходящих через банковскую систему операций может обнаружить мошеннические.

Информационная безопасность криптовалют, токенов и смарт-контрактов

Майнинг криптовалют стал повседневным явлением. Токены выпускают и фермерские хозяйства, и игровые проекты. Появляется национальное нормативно-правовое регулирование сферы. В Гражданский кодекс РФ уже включено понятие электронных активов, под которыми подразумеваются токены, и смарт-контрактов.

Широкое развитие этого направления требует параллельного развития и средств защиты. Пока большинство электронных кошельков находится за рубежом, но с развитием национальной инфраструктуры защита информации в области электронных активов станет существенной потребностью.

Защита личных данных

Разработанная государственными органами система защиты персональных данных не полностью закрывает все потребности физического лица. Защита информации осуществляется в отношении только тех сведений, которые были переданы компаниям и обрабатываются в рамках их информационных систем. При этом крайне плохо защищена медицинская информация, особенно данные, передаваемые по электронным каналам связи. Никак не регулируются попытки кражи личности, например, взломы аккаунтов в социальных сетях. Рынок информационных услуг только начинает развиваться, но это направление должно стать более актуальным с повышением уровня знаний граждан об их информационных правах.

Рынок автоматизации систем управления ИБ

Эксперты, изучающие рынок SIEM- и DLP-систем, часто отмечают, что их архивы и сами системы защищены от внешнего нападения достаточно слабо, особенно если некоторые их компоненты размещены в виртуальной среде. Это порождает необходимость разработки средств защиты для автоматизированных систем обеспечения безопасности информации, их архива, документооборота и трафика.

Помимо защиты программного обеспечения, рынок нуждается в продуктах, которые упростят менеджмент информационной безопасности.

Безопасность медицинских систем

Новым решением в здравоохранении стала телемедицина или предоставление услуг в режиме телеконференции. Передаваемые данные не всегда защищены надлежащим образом, что вызывает необходимость решить эту задачу. Новое направление безопасности коснется не только защиты персональных данных граждан, но и систем управления медицинскими учреждениями, каналами связи, каналами передачи документированной медицинской информации, например, между медицинским центром и лабораторией, проводящей исследования. Комплексная безопасность медицинских систем становится насущной необходимостью при охране интересов личности.

Безопасность мобильных устройств

Многие граждане не предполагают, что их смартфон – это информационная бомба, содержащая полную и исчерпывающую информацию о человеке, его передвижениях, покупках, связях, увлечениях. Не только попадание телефона в чужие руки, но и проникновение в него вируса угрожают конфиденциальности информации.

Основная доля рынка по защите мобильных устройств приходится на крупных игроков, но отдельные антивирусные решения и средства защиты информации разрабатывают небольшими компаниями или научно-исследовательскими организациями. Так, одно из решений в области MDM (Mobile Device Management) в России был разработано НИИ СОКБ по заказу «Газпрома».

Защита виртуализации

Это направление развивается, но довольно медленно, на рынке существует несколько российских программных продуктов, например, программно-аппаратный комплекс «Горизонт ВС». Разработан ГОСТ, посвященный вопросам защиты среды виртуализации. Необходимо усилить защиту и удаленных рабочих мест, и автоматизированных систем, находящихся в виртуальной среде.

Обеспечение достоверности информации в глобальных информационных системах

Это направление только развивается, но в ситуации, когда большая часть сведений при анализе различных объектов и явлений берется в Интернете, вопрос их достоверности становится актуальным. Необходимо внедрить в практику повсеместное проявление такого свойства безопасности, как безотказность, и использовать возможности электронного интеллекта для проверки достоверности данных.

Регулярный мониторинг новых направлений развития электронного мира и экономики порождает и новые направления для развития технологий в сфере информационной безопасности, при этом в основе всех разработок должна лежать защита интересов личности, общества и государства.

Основные направления обеспечения безопасности информационных систем Текст научной статьи по специальности «Компьютерные и информационные науки»

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Мирошниченко К.В.

В данной статье рассматривается информационная сфера, которая является системообразующим фактором жизни общества, активно оказывающим большое влияние на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации. Уязвимость такой информации обусловлена целым рядом факто-ров: огромные объемы, большое количество пользователей, работающих с этой информацией, анонимность доступа, передача информации по каналам связи, безответственность пользователей. Все это делает задачу обеспечения защищенности информации, размещен-ной в компьютерной среде, гораздо более сложной проблемой.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Мирошниченко К.В.

THE MAIN DIRECTIONS OF ENSURING THE SECURITY OF INFORMATION SYSTEMS

This article deals with the information sphere, which is a system-forming factor in the life of society, which actively exerts a great influence on the state of political, economic, defense and other components of the Russian Federation’s security. The vulnerability of such information is due to a number of factors: huge volumes, a large number of users working with this information, anonymity of access, transmission of information through communication channels, irresponsibility of users. All this makes the task of ensuring the security of information placed in a computer environment a much more complex problem.

Текст научной работы на тему «Основные направления обеспечения безопасности информационных систем»

ОСНОВНЫЕ НАПРАВЛЕНИЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ

В данной статье рассматривается информационная сфера, которая является системообразующим фактором жизни общества, активно оказывающим большое влияние на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации Уязвимость такой информации обусловлена целым рядом факторов: огромные объемы, большое количество пользователей, работающих с этой информацией, анонимность доступа, передача информации по каналам связи, безответственность пользователей. Все это делает задачу обеспечения защищенности информации, размещенной в компьютерной среде, гораздо более сложной проблемой.

Ключевые слова: безопасность информационной системы, угроза безопасности, направления обеспечения информационных систем.

THE MAIN DIRECTIONS OF ENSURING THE SECURITY OF INFORMATION SYSTEMS

This article deals with the information sphere, which is a system-forming factor in the life of society, which actively exerts a great influence on the state of political, economic, defense and other components of the Russian Federation’s security. The vulnerability of such information is due to a number of factors: huge volumes, a large number of users working with this information, anonymity of access, transmission of information through communication channels, irresponsibility of users. All this makes the task of ensuring the security of information placed in a computer environment a much more complex problem.

Keywords: information system security, security threat, directions of providing information systems.

Безопасность информационной системы -это такое состояние, при котором она, с одной стороны, способна противостоять дестабилизирующему воздействию внешних и внутренних угроз, а с другой — ее функционирование не создает информационных угроз для элементов самой системы и внешней среды [1]. Иными словами, это способность системы обеспечить конфиденциальность и целостность информации, т е защиту информации от несанкционированного доступа с целью ее раскрытия, изменения или разрушения. Таким образом, безопасная система по определению обладает свойствами конфиденциальности, доступности и целостности.

Конфиденциальность — гарантия того, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен.

Доступность — гарантия того, что авторизованные пользователи всегда получат доступ к данным.

Целостность, безопасность — гарантия сохранности даннымх, которая обеспечивается запретом для неавторизованных пользователей каким-либо образом изменять, модифицировать, разрушать или создавать данные.

Требования безопасности могут меняться в зависимости от назначения сис-

темы, характера используемых данных вследствие и типа возможных угроз.

Любое действие, которое направлено на нарушение защиты конфиденциальности, целостности и доступности информации, а также на нелегальное использование других ресурсов сети, называется угрозой. Угрозы разделяют на два вида: умышленные и неумышленные.

Неумышленные угрозы вызываются ошибочными действиями сотрудников, становятся следствием их низкой квалификации или безответственности. Также эти угрозы могут возникнут вследствие технических сбоев.

Умышленные угрозы могут ограничиваться либо пассивным чтением защиты данных или мониторингом изменения системы, либо включать в себя активные действия, например нарушение целостности и доступности информации, приведение в нерабочее состояние приложений и устройств Так, умышленные угрозы возникают в результате деятельности хакеров и явно направлены на нанесение ущерба работы Также угрозы объединяют в обобщающие три группы:

угроза раскрытия, то есть возможность того, что информация станет известна лицам, доступ у которых к данной информации закрыт либо ограничен,

угроза защиты целостности, то есть умышленное незаконное изменение (удаление) данных, хранящихся в вычислительной системе передаваемых или передаваемых из одной системы в другую;

Читать еще:  Php locale ru

угроза отказа в обслуживании, то есть возможность появления блокировки доступа к некоторому ресурсу системы.

Таким образом, обеспечение безопасности информации также может быть нарушено как человеческим фактором, так и техническим.

Направления обеспечения безопасности информационных систем представляют собой совокупность комплексных мер, направленных на предотвращение угроз информационным системам на различных уровнях [3].

Выделяют защиту правовую, организационную, инженерно-техническую.

Правовая защита информации заключается в разработке нормативных правовых актов, регламентирующих отношения, возникающие при осуществлении права на поиск, получение, передачу и распространение информации, применениие информационных технологий, производство И обеспечение защиты информации.

Базовым законодательным актом в сфере защиты информации является Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ (ред. от 25.11.2017). Указанный закон регулирует отношения, связанные с осуществлением права на поиск, получение, передачу, производство и распространение информации, применением информационных технологий; обеспечением гарантия защиты информации Он разделяет информацию на информацию, доступ к которой ограничен законодательством и общедоступную.

Система законодательных актов и разработанных на их базе нормативных и организационно-распорядительных документо-в должна обеспечивать организацию эффективного доступа за их исполнением со стороны правоохранительных органов и реализацию мер судебной защиты.

Всего в российском законодательстве насчитывается более 30 видов тайн. Сотрудникам органов внутренних дел наиболее часто приходится сталкиваться с защитой следующих видов тайн: государственная, служебная, правовая, следствия, тайна сведений о защищаемом лице, персональные данные и др.

За преступления и правонарушения в сфере защиты информации действующим законодательством установлена уголовная и административная ответственность. Например, уголовная ответственность установлена за государственную измену (шпионаж) в форме выдачи государственной тайны, разглашение государственной тайны. Административная от-

ВЕСГНИК УРАЛЬСКОГО УНИВЕРСИТЕТА — ИНСТИТУТА ЭКОНОМИКИ, УПРАВЛЕНИЯ И ПРАВА №2 2018

ветственность наступает за нарушение установленного законом порядка сбора, хранения, использования или распространения, а также порядка предоставлени-я (непредставление или предоставлени-е ложных сведений) информации; нарушение правил защиты информации, незаконная деятельность в области защиты информации, разглашение информации с ограниченным доступом (например, о мерах безопасности) и другие составы административных правонарушений, закрепленных в главе 13 КоАП РФ

Организационная защита — это регламентация служебной деятельности и взаимоотношений сотрудников на нормативно-право-вой основе, исключающей или значительно затрудняющей неправомерное овладение информацией ограниченного доступа и проявление внутренних и внешних угроз.

К основным организационным мероприятиям можно отнести:

организацию режима и охраны с целью исключения возможности циониро-ванного проникновения на территорию и в помещения посторонних лиц, контроля прохода на территорию сотрудников и посетителей,

организацию защищенного документооборота;

организацию работы по допуску сотрудников к информации ограниченного -доступа,

организацию использования технических средств сбора, передачи и хранения информации ограниченного доступа, организацию работы по анализу внутренних и внешних угроз информаци ограниченного доступа;

организацию работ по проведению систематического контроля за сотрудниками, работающими с документами ограниченного доступа [2].

Инженерно-техническая защита информации — это совокупность специальных технических средств и мероприятий по их использованию с целью защиты информации ограниченного доступа [2].

По функциональному назначению средства инженерно-технической защиты информации классифицируются на следующие группы:

— физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (или доступу) злоумышленников на объекты защиты и к материальным носителям информации ограниченного доступа и осуществляющие защиту сотрудников, материальных средств и информации от противоправных воздействий;

— аппаратные средства включают в себя приборы, устройства, приспособления и другие технические решения, используемые в интересах защиты информации с целью гарантированной защиты информации от утечки, разглашения и несанкционированного доступа,

— программные средства, охватывающие специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки данных;

— криптографические средства с помощью специальных математических алгоритмов производят преобразование информации, передаваемой по линиям связи или хранящейся в технических средствах, таким образом, что при несанкционированном доступе злоумышленник не имеет возможности ознакомиться с содержанием передаваемой ИЛИ хранимой информации [3]

Таким образом, обеспечение безопасности информационных систем является комплексной задачей. Это обусловлено тем, что информационная среда является сложным многоплановым механизмом, в котором действуют такие компоненты, как электронное оборудование, программное обеспечение, персонал.

Для решения проблемы обеспечения безопасности информационной системы необходимо применение законодательных, организационных и программно-техничес-ких мер. Пренебрежение хотя бы одним из аспектов этой проблемы может привести к утрате или утечке информации

1. Загинайлов Ю.Н Теория информационной безопасности и методология защиты информации: Учебное пособие М., Берлин: Директ-Медиа, 2015. 23 с

2 Колябин Ю.А. Информационная безопасность и защита информации: Учебное пособие. М.: Студенческая наука, 2016. 164 с.

3. Шаньгин В Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие. М : ИД «ФОРУМ», 2015. 416 с.

1. Zaginaylov YU.N. Teoriya informatsionnoy bezopasnosti i metodologiya zashchity informatsii: Uchebnoye posobiye M., Berlin: Direkt-Media, 2015 23 s.

2. Kolyabin YU.A. Informatsionnayabezopasnost’ i zashchitainformatsii: Uchebnoye posobiye M.: Studencheskaya nauka, 2016. 164 s.

3. Shan’gin VF. Informatsionnayabezopasnost’komp’yutemykhsistemisetey: Uchebnoye posobiye M ID «FORUM», 2015 416 s.

СВЕДЕНИЯ ОБ АВТОРЕ

МИРОШНИЧЕНКО Кристина Васильевна, студентка Института права, Челябинский государственный университет, г. Челябинск/

Научный руководитель и рецензент:

преподаватель кафедры ПНиОПД, Института права ЧелГУ,

ВЕСТНИК УРАЛЬСКОГО УНИВЕРСИТЕТА — ИНСТИТУТА ЭКОНОМИКИ, УПРАВЛЕНИЯ И ПРАВА №2 2018

Защита информации

Защита информации — это деятельность, которая направлена на предотвращение утечки защищаемых данных, непреднамеренных и несанкционированных воздействий на защищаемые данные.

Информационная безопасность

Государственная информационная безопасность представляет собою состояние сохранности всех информационных ресурсов государства, а также защищенность всех законных прав общества и личности в информационной сфере.

В сегодняшнем социуме сфера информации имеет две составные части:

  • информационно-техническую (созданный искусственно человеком мир технологий, техники и так далее);
  • и информационно-психологическую (естественный мир живой природы, который включает и самого человека).

Модель информационной безопасности

В виде стандартной модели информационной безопасности зачастую приводят модель, состоящую из трех различных категорий:

  • конфиденциальность — представляет собой состояние информации, при котором допуск к ней осуществляют лишь субъекты, которые имеют такое право;
  • целостность — представляет собой избежание несанкционированных изменений информации;
  • доступность — представляет собой избежание постоянного или временного сокрытия информации от юзеров, которые получили права доступа.

Можно выделить и другие, не всегда необходимые категории модели информационной безопасности:

  • апеллируемость или неотказуемость — способность подтверждать имевшее место событие или действие так, чтобы эти действия или события не могли оказаться позже опровергнутыми;
  • подотчетность – официальная регистрация данных;
  • достоверность — представляет собой свойство соответствия предусмотренным результатам или поведению;
  • аутентичность или подлинность — представляет собой свойство, которое гарантирует, что ресурс или субъект идентичен заявленным.

Составляющие информационной безопасности

Системный подход к описанию безопасности информации предлагает выделить такие составляющие безопасности информации:

  • Научная, нормативно-правовая и законодательная база.
  • Задачи и структура органов (подразделений), которые обеспечивают безопасность ИТ.
  • Режимные и организационно-технические методы защиты информации (политика безопасности информации).
  • Программные, а также технические средства защиты информации.

Задачей реализации безопасности информации какого-либо объекта считается построение СОИБ (система обеспечения безопасности данных). Для формирования и действенной эксплуатации СОИБ нужно:

  • выявить требования к защите информации, специфические для этого объекта защиты;
  • принять во внимание требования международного и национального Законодательства;
  • использовать существующие практики (методологии, стандарты) построения подобных систем;
  • определить подразделения, которые ответственны за реализацию и поддержку системы;
  • распределить между всеми подразделениями области их ответственности в исполнении требований СОИБ;
  • на основе управления рисками безопасности информации установить общие положения, организационные и технические требования, которые составляют политику безопасности информации объекта защиты;
  • исполнить требования политики безопасности информации посредством внедрения соответствующих программно-технических способов и средств информационной защиты;
  • реализовать систему управления (менеджмента) безопасности информации (СМИБ);
  • применяя СМИБ, организовать постоянный контроль действенности СОИБ и при необходимости корректировку и пересмотр СОИБ и СМИБ.

Судя по последнему этапу работ, процесс реализации системы обеспечения безопасности данных беспрерывный и циклично (после каждого из пересмотров) возвращается к первому шагу, повторяя поочередно все остальные. Таким образом, СОИБ корректируется для действенного выполнения собственных задач информационной защиты, и соответствия новым требованиям регулярно обновляющейся системы информации.

Нормативные документы в сфере безопасности информации

В России к нормативно-правовым актам в сфере информационной безопасности причисляются:

1) Федеральные законодательные акты:

  • Международные договоры России.
  • Конституция России.
  • Закон о защите информации федерального уровня (сюда включены конституционные федеральные кодексы, законы).
  • Указы Президента России.
  • Правительственные постановления Российской Федерации.
  • Правовые нормативные акты федеральных ведомств и министерств.
  • Правовые нормативные акты субъектов России, а также государственных органов местного самоуправления и так далее.

2) К нормативно-методическим документам возможно причислить:

  • Методические документы правительственных органов России:

а) Доктрина безопасности информации России.

б) Руководящие документы государственной технической комиссии (ФСТЭК) Российской Федерации.

в) Приказы Федеральной службы безопасности.

  • Стандарты безопасности информации, из которых можно выделить:

а) Международные стандарты.

б) Национальные (государственные) стандарты России.

в) Рекомендации по стандартизации.

г) Указания методические.

Органы (подразделения), которые обеспечивают информационную безопасность

Правительственные органы РФ, которые контролируют деятельность в области информационной защиты:

  • Комитет Госдумы по безопасности.
  • Совет безопасности России.
  • ФСТЭК (Федеральная служба по экспортному и техническому контролю) РФ.
  • ФСБ (Федеральная служба безопасности) России.
  • ФСО (Федеральная служба охраны) РФ.
  • СВР (Служба внешней разведки) России.
  • Минобороны (Министерство обороны) РФ.
  • МВД (Министерство внутренних дел) России.
  • Роскомнадзор (Федеральная служба по контролю в сфере массовых коммуникаций, информационных технологий, а также связи).

Организационная защита различных объектов информатизации

Организация защиты информации представляет собою регламентацию взаимоотношений исполнителей, а также производственной деятельности на нормативно-правовой основе, которая исключает или существенно затрудняет неправомерное овладение какой-либо конфиденциальной информацией и выражение внешних, внутренних угроз. Организационная информационная защита обеспечивает:

  • организацию режима, охраны, работу с документами, с кадрами;
  • применение технических средств информационной безопасности, а также информационно-аналитическую деятельность по обнаружению внешних, внутренних угроз деятельности предпринимателя.

К основным мероприятиям защиты информации можно причислить:

  • Организацию охраны, режима. Их цель — исключить возможность тайного проникновения в помещения и на территорию каких-либо сторонних лиц;
  • Организацию работы с сотрудниками, которая предполагает подбор и расстановку всего персонала, сюда включено ознакомление с работниками, их изучение, обучение всем правилам работы с данными конфиденциального характера, ознакомление с мерами их ответственности за нарушение каких-либо правил информационной защиты и так далее.
  • Организацию работы с документированной информацией и документами, включая организацию использования и разработки документов и носителей информации конфиденциального характера, их учет, возврат, исполнение, хранение, а также уничтожение.
  • Организацию применения технических средств для сбора, обработки, хранения и накопления информации конфиденциального характера.
  • Организацию работы по исследованию внешних и внутренних угроз информации конфиденциального характера и выработке мер по формированию ее защиты.
  • Организацию работы по осуществлению систематического контроля за работой сотрудников с конфиденциальной информацией, порядком хранения, учета и устранения документов, а также технических носителей.
Читать еще:  Ftp put php

Во всякой конкретной ситуации организационные мероприятия принимают специфическое для каждой организации содержание и форму, и такие меры направлены на обеспечение информационной безопасности в конкретных условиях.

Направления информационной защиты

Широкое применение компьютерных технологий в автоматизированных системах обработки информации и управления привело к обострению проблемы защиты информации, циркулирующей в компьютерных системах, от несанкционированного доступа.

Защита информации в компьютерных системах обладает рядом специфических особенностей, связанных с тем, что информация не является жёстко связанной с носителем, может легко и быстро копироваться и передаваться по каналам связи. Известно очень большое число угроз информации, которые могут быть реализованы как со стороны внешних, так и со стороны внутренних нарушителей.

Вся информация делится на две большие категории: общедоступную информацию и информацию ограниченного доступа.

Общедоступную информацию защищать не требуется, необходимо своевременно обеспечивать только условие ее доступности для лиц и организаций, а также гарантировать требуемую степень ее полноты и достоверности. Защите от незаконного распространения, разглашения, использования, ознакомления, копирования и иных подобных действий подлежит только информация ограниченного доступа, включающая государственную тайну и различные виды конфиденциальных сведений.

Обеспечение информационной безопасности призвано решать следующие основные задачи:

— выявление, оценка и предотвращение угроз информационным системам и информационным ресурсам;

— защита прав юридических и физических лиц на интеллектуальную собственность, а также сбор, накопление и использование информации;

— защита государственной, служебной, коммерческой, личной и других видов тайны.

Угрозы информационным системам и информационным ресурсам можно условно разделить на четыре основные группы:

1. программные – внедрение «вирусов», аппаратных и программных закладок; уничтожение и модификация данных в информационных системах;

2. технические, в т.ч. радиоэлектронные, – перехват информации в линиях связи; радиоэлектронное подавление сигнала в линиях связи и системах управления;

3. физические – уничтожение средств обработки и носителей информации; хищение носителей, а также аппаратных или программных парольных ключей;

4. информационные – нарушение регламентов информационного обмена; незаконные сбор и использование информации; несанкционированный доступ к информационным ресурсам; незаконное копирование данных в информационных системах; дезинформация, сокрытие или искажение информации; хищение информации из баз данных.

Противостоять этим угрозам можно на основе создания и внедрения эффективных систем защиты информации.

Рассмотрим девять относительно самостоятельных и примерно равных по сложности реализации направлений информационной защиты. Ими являются:

1. нормативно-правовая защита;

2. организационно-распорядительная защита;

3. инженерная защита и техническая охрана объектов информатизации;

4. защита информации от утечки по техническим каналам;

5. обнаружение и нейтрализация средств технической разведки;

6. управление доступом к информации;

7. защита компьютерной системы от вредоносных программ;

8. семантическое сокрытие информации;

9. обеспечение нормальных условий эксплуатации информационных систем и машинных носителей информации.

Все рассматриваемые виды защиты отличаются друг от друга по таким параметрам, как цели, задачи, категория защищаемой информации, ее носители, возможные угрозы и информационные нарушители, средства и методы защиты. Каждое из направлений перекрывает какое-то пространство угроз, для каждого характерны свои постулаты, задачи и модели. Направления защиты не одинаковы по своим масштабам, стоимости и используемым ресурсам.

Более подробно остановимся на следующих направлениях защиты:

Основным направлением нормативно-правовой защиты можно считать защиту жизни, здоровья, имущества и нравственности человека, морального здоровья общества и государственных устоев от воздействия оскорбительной, лживой, опасной информации. Правовая защита от распространения опасной информации обеспечивается установлением запретительных норм и санкций за их нарушение.

Нормативно-правовой защите свойственны перечисленные ниже недостатки:

1. Правовые нормы формируются обычно со значительным запозданием. Особенно это касается правонарушений. В век лавинообразной информатизации невозможно заранее предсказать, какие действия могут представлять общественную опасность и должны быть криминализованы.

2. Для информационных преступлений характерна высокая латентность.

— это высокоинтеллектуальная преступность (отвратительное сочетание слов!), и информационные преступники часто тщательно продумывают и планируют свои операции, предусматривая меры по их нераскрываемости;

— в сфере компьютерных технологий преступления часто осуществляются на расстоянии, через транснациональные информационные каналы, со скрытием источника атаки и использованием множества промежуточных узлов, находящихся на территориях различных государств, в том числе не имеющих развитой законодательной базы;

— лица, отвечающие за защиту информации, и сотрудники правоохранительных органов, расследующие информационные правонарушения, не всегда достаточно компетентны.

3. Законы составляют, принимают и исполняют люди. Деятельность по защите информации нуждается в строгости и точности определений, терминов, санкций, высокой компетентности и эрудиции. Но среди законодателей пока специалистов по защите информации почти (!) нет.

Нормативно-правовая защита не может быть самодостаточной для решения большинства задач информационной безопасности. Правовые нормы представляют собой лишь надстройку над другими направлениями защиты, определяя степень их допустимости и в ряде случаев направляя их использование. С другой стороны, нормативно-правовая защита лишь закрепляет сложившиеся в обществе нормы, причем делает это с большим опозданием.

Инженерная защита и техническая охрана объектов информатизации. Это направление защиты сформировалось и в основном применяется для охраны материальных ценностей. В течение тысячелетий человек пытался защитить свое имущество от посторонних с помощью прочных стен, крепких дверей, надежных замков и служебных животных.

Инженерная защита и техническая охрана в равной степени используются для защиты, как вещественных ценностей, так и объектов информатизации.

Инженерная защита объекта заключается в сооружении механических препятствий на предполагаемом пути нарушителя, а также в создании персоналу охраны возможностей для контроля этих препятствий и быстрого реагирования на вторжение.

Защита информации от утечки по техническим каналам. Первично данное направление возникло и развивалось как мера противодействия утечке энергетических носителей, используемых для передачи скрываемой информации.

Передача конфиденциальной информации должна быть адресной, что предполагает ее получение только санкционированным приемником. Однако процесс передачи информации по каналам связи происходит с помощью модулированных или кодированных электрических или оптических сигналов, которые в соответствии с физическими законами возбуждают в окружающем пространстве электромагнитные поля. Часть этой энергии, даже в случае использования экранированных электрических кабелей или оптоволоконных линий, проникает за пределы канала связи, и ее можно зафиксировать с помощью достаточно чувствительных приемных устройств, а затем, зная законы модуляции, извлечь передаваемую информацию. В таких случаях принято говорить об утечке из канала связи.

Опасность технической утечки в каждом конкретном случае следует оценивать правильно. Утечка по техническим каналам становится реальностью, когда ценность защищаемой информации очень велика, а за плечами информационного противника стоят либо экономическая мощь развитого иностранного государства, либо деньги преступной организации.

Обнаружение и нейтрализация средств технической разведки (СТР). Устройства, предназначенные для технической разведки, активно разрабатываются и используются в интересах государственного и промышленного шпионажа со времени появления полупроводниковых приборов.

В большинстве случаев СТР являются автономными «интеллектуальными» устройствами, способными самостоятельно включаться, изменять режим работы, передавать перехваченную информацию за пределы объекта и при этом маскировать признаки своего присутствия и деятельности.

Широчайшее разнообразие устройств технической разведки делает их обнаружение весьма непростой задачей. Ввиду априорной неопределенности моделей СТР, которые может применить нарушитель, универсальной методики их обнаружения и нейтрализации просто не может быть.

Защита компьютерной информации и компьютерных систем от вредоносных программ. Основным объектом защиты от вредоносных программ является компьютерная информация (данные, обрабатываемые на компьютере, а также штатные программы, которые им обычно управляют). Поскольку вредоносные программы в принципе могут вызывать отказы некоторых узлов аппаратуры, объектами защиты следует также считать локальный компьютер с периферийными устройствами и компьютерные сети.

Основной угрозой для универсальной программно управляемой автоматизированной информационной системы является перехват управления в интересах нарушителя. Перехват управления, выполненный с необходимыми привилегиями, позволяет информационному нарушителю реализовать в отношении компьютерной информации или компьютерной системы любые угрозы, ограниченные только его фантазией.

Вредоносные программы фиксируются путем обнаружения известных статических признаков или заранее известных, потенциально опасных действий. Противодействие между вредоносными и антивирусными программами, точнее, противостояние программистов длится уже несколько десятилетий, и конца этому противостоянию не видно.

Семантическое сокрытие информации. Главное в информации – ее смысл. Исходя из смысла определяются и прагматические свойства информации: ее ценность, полнота, достоверность и своевременность. До тех пор, пока смысл неясен, судить о других свойствах информации, в частности, о ее ценности, невозможно, а бессмысленная информация по определению бесполезна.

Семантическое сокрытие информации в настоящее время реализуется тремя методами – с помощью скремблирования, криптографии и стеганографии.

Семантическое сокрытие информации является прекрасным методом информационной защиты. Но оно тоже не самодостаточно, так как информация во множестве форм ее представления просто не может быть скрыта. Безупречной в криптографии и стеганографии является только математика, но не практическая реализация математических алгоритмов.

Подводя итог, необходимо отметить, что, ни одно из рассмотренных направлений не противодействует всем категориям угроз и нарушителей. Представленные направления защиты, к сожалению, не образуют единого целого, не согласованы друг с другом по задачам, используемым средствам и методам. В некоторых случаях они наслаиваются друг на друга, иногда просто не стыкуются.

Следует упростить ситуацию за счет выделения особо значимых и отбрасывания незначащих направлений защиты. Если отдать эту задачу на откуп специалистам, они наверняка выберут те направления, которыми хорошо владеют. Юрист, скорее всего, будет отстаивать первенство нормативно-правовой защиты, а криптограф предложит новый криптоалгоритм или более длинный ключ шифрования. Информационный же нарушитель немного «поковыряет» построенную систему в разных местах и получит желаемое, насмехаясь над нелепо сконструированной защитой. И те защитники информации, которые предпочитают только хорошо знакомые им способы, должны вначале заключить со всеми потенциальными нарушителями своего рода конвенцию о неприменении форм и средств нападения, не предусмотренных защитой.

Узкая специализация в вопросах информационной безопасности недопустима. Защита информации, как ни один другой вид деятельности, требует комплексного подхода и комплексных решений.

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector
×
×