Информационная безопасность в современном мире

Размещено на http://www.allbest.ru/

ФЕДЕРАЛЬНОЕ АГЕНСТВО ПО ОБРАЗОВАНИЮ

Государственное образовательное учреждение высшего профессионального образования

ДАЛЬНЕВОСТОЧНЫЙ ФЕДЕРАЛЬНЫЙ УНИВЕРСИТЕТ

ИНСТИТУТ ИСТОРИИ, ФИЛОСОФИИ И КУЛЬТУРЫ

КАФЕДРА КУЛЬТУРОЛОГИИ

КУРСОВАЯ РАБОТА

НА ТЕМУ: «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В СОВРЕМЕННОМ МИРЕ»

студента Маслова С.П.

Научный руководитель: Доктор Философских наук Арташкина Тамара Андреевна

Владивосток 2011 г.

СОДЕРЖАНИЕ

Введение

Глава I. Сущность информационной безопасности и основные виды угроз

1.1 Исторические аспекты возникновения и развития информационной безопасности

1.2 Понятие информационной безопасности

1.3 Основные виды угроз информационной безопасности

Глава II. Средства и методы информационной безопасности

2.1 Технические средства защиты информации

2.2 Программные средства защиты информации

2.3 Организационные средства защиты информации

2.4 Методы защиты информации

Глава III. Информационная безопасность в современном мире

3.1 Информационная безопасность и Интернет

3.2 Информационная безопасность в современном бизнесе

3.3 Информационная безопасность государства

Заключение

Список источников и литературы

ВВЕДЕНИЕ

Особенностью нынешнего периода - является переход от индустриального общества к информационному, в котором информация становится более важным ресурсом, чем материальные или энергические ресурсы. Ресурсами называют элементы экономического потенциала, которыми располагает общество и которые могут быть использованы для достижения конкретной цели хозяйственной деятельности. Но вот появилось понятие информационные ресурсы, и хотя оно узаконено, то осознано пока ещё недостаточно. Информационные ресурсы - это отдельные документы и отдельные массивы документов в информационных системах (библиотеках, архивов, фондах, и т.д.). Информационные ресурсы являются собственностью, подлежат учету и защите, так как информацию можно использовать не только для товаров и услуг, но и превратить ее в наличность, продав кому-нибудь, или уничтожить. Собственная информация для производителя представляет значительную ценность, так как нередко получение такой информации - весьма трудоемкий и дорогостоящий процесс. Ценность информации определяется в первую очередь приносимыми доходами.

Информационные ресурсы в условиях рыночной экономики занимают особое место.

Важным фактором рыночной экономики выступает конкуренция. И в этих условиях основным выступает правило: кто владеет информацией, тот владеет миром. В конкурентной борьбе широко распространены разнообразные действия, направленные на получение конфиденциальной информации самыми различными способами, вплоть до прямого промышленного шпионажа с использованием современных технических средств разведки.

В этих условиях защите информации отводится значительное место. При этом целями защиты информации являются: предотвращение разглашения, утечки и несанкционированный доступ к охраняемым сведениям; предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы; обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством; обеспечение прав субъектов в информационных процессах и при разработки, производстве и применении информационных систем, технологии и средств их обеспечения.

Информационная безопасность - довольно емкая и многогранная проблема, охватывающая не только определенные необходимости защиты информации, но и то, как ее защищать, от чего защищать, когда защищать, чем защищать и какой должна быть эта защита.

Основная цель исследования - определить важность информационной безопасности в современном мире, виды угроз, средства и методы мониторинга и защиты информационной безопасности, ее роль на уровне государства, компании и конечного пользователя.

Для достижения данной цели необходимо решение следующих задач:

· раскрыть содержание понятия «информационная безопасность»;

· обосновать основные принципы и подходы к обеспечению информационной безопасности, способы ее регулирования в современном мире;

· определить значение информационной безопасности государства, различных предприятий, а так же конечных пользователей.

Объектом исследования является информация в современном мире. Предметом исследования являются методы и средства защиты информации, а так же борьбы с угрозами информационной безопасности.

В силу специфики объекта и предмета исследования к их анализу привлечен методологический арсенал различных научных дисциплин: социологии, политологии, информологии, психологии в виде предмета изучения информационной безопасности.

Работа состоит из введения, трех глав, разделенных по тематическому принципу, заключения и списка использованной литературы. Структура работы отражает логику исследования.

ГЛАВА I. СУЩНОСТЬ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ОСНОВНЫЕ ВИДЫ УГРОЗ

1.1 Исторические аспекты возникновения и развития информационной безопасности

Категория «информационная безопасность» возникла с появлением средств информационных коммуникаций между людьми, а также осознанием человеком наличия у людей и их сообществ интересов, которым может быть нанесен ущерб путем воздействия на средства информационных коммуникаций, наличие и развитие которых обеспечивает информационный обмен между всеми элементами социума.

В развитии средств информационных коммуникаций можно выделить несколько этапов:

I этап - до 1816 года - характеризуется использованием естественно возникших средств информационных коммуникаций. В этот период основная задача информационной безопасности заключалась в защите сведений о событиях, фактах, имуществе, местонахождении и других данных, имеющих для человека лично или сообщества, к которому он принадлежал, жизненное значение.

II этап - начиная с 1816 года - связан с появлением и использованием технических средств электро- и радиосвязи. Для обеспечения скрытности и помехозащищенности радиосвязи необходимо было использовать опыт первого периода информационной безопасности на более высоком уровне развития, а именно применение помехоустойчивого кодирования сообщения с последующим декодированием принятого сообщения.

III этап - начиная с 1935 года - появление радиолокационных и гидроакустических средств. Основным способом обеспечения информации было сочетание организационных и технических мер, направленных на повышение защищенности радиолокационных средств от воздействия на их приемные устройства активными маскирующими и пассивными имитирующими радиоэлектронными помехами.

IV этап - начиная с 1946 года - изобретение и внедрение в практическую деятельность электронно-вычислительных машин. Задачи информационной безопасности решались, в основном, ограничением физического доступа к оборудованию средств добывания, переработки и передачи информации.

V этап - начиная с 1965 года - создание и развитие локальных информационно - коммуникационных сетей. Задачи информационной безопасности также решались, методами и способами физической защиты средств добывания, переработки и передачи информации, объединенных в локальную сеть путем администрирования и управления доступом к сетевым ресурсам.

VI этап - начиная с 1973 года - использование сверхмобильных коммуникационных устройств с широким спектром задач. Для обеспечения информационной безопасности в компьютерных системах с беспроводными сетями передачи данных потребовалась разработка новых критериев безопасности. Образовались сообщества хакеров, которые ставят перед собой цель нанести ущерб информационной безопасности отдельных пользователей, организаций и целых стран. Информационный ресурс стал важнейшим ресурсом государства, а обеспечение его безопасности - важнейшей и обязательной составляющей национальной безопасности. Формируется информационное право - новая отрасль международной правовой системы.

VII этап - начиная с 1985 года - создание и развитие глобальных информационно - коммуникационных сетей с использованием космических средств обеспечения. Для решения задач информационной безопасности на этом этапе необходимо создание макросистемы информационной безопасности человечества под эгидой ведущих международных форумов.

1.2 Понятие информационной безопасности

Под информационной безопасностью (ИБ) понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре.

Информационная безопасность организации - состояние защищенности информационной среды организации, обеспечивающее ее формирование, использование и развитие.

Информационная сфера имеет две составляющие:

· информационно - техническая (искусственно созданный человеком мир техники, технологий и т.п.)

· информационно - психологическая (естественный мир живой природы, включающий и самого человека)

В качестве стандартной модели безопасности часто приводят модель из трех категорий:

1. Конфиденциальность - состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право;

2. Целостность - избежание несанкционированной модификации информации. Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций));

3. Доступность - избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Информационная безопасность:

· доступность

· целостность

· конфиденциальность

Выделяют и другие не всегда обязательные категории модели безопасности:

· неотказуемость или апеллируемость - невозможность отказа от авторства;

· подотчетность - обеспечение идентификации субъекта доступа и регистрации его действий;

· достоверность - свойство соответствия предусмотренному поведению или результату;

· аутентичность или подлинность - свойство, гарантирующее, что субъект или ресурс идентичны заявленным;

В деле обеспечения информационной безопасности успех может принести только комплексный подход.

Выделяют следующие уровни обеспечения ИБ:

· Законодательный.

· Административный (приказы и другие действия руководстваорганизаций, связанных с защищаемыми информационными системами).

· Процедурный (меры безопасности, ориентированные на людей).

· Программно - технический.

Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать непринято.

Две группы мер на законодательном уровне обеспечения ИБ:

· меры ограничительной направленности - меры, направленные на создание и поддержания в обществе негативного отношения к нарушениям и нарушителям информационной безопасности;

· направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработки и распространении средств обеспечения информационной безопасности.

Самое важное на законодательном уровне - создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий.

Информационная безопасность в Российском законодательстве регулируется следующими нормативно - правовыми документами:

· Конституция РФ;

· Гражданский кодек;

· Уголовный кодекс;

· Закон “Об информации, информатизации и защите информации” Федеральный закон от 20 февраля 1995 года N 24-ФЗ;

· Другие законы и подзаконные акты.

К административному уровню ИБ относятся действия общего характера, предпринимаемые руководством организации.

Главная цель мер административного уровня - сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Под политикой безопасности понимается совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации.

Основные классы мер процедурного уровня:

· управление персоналом;

· физическая защита;

· поддержание работоспособности;

· реагирование на нарушения режима безопасности;

· планирование восстановительных работ.

Управление персоналом начинается с приема нового сотрудника на работу и даже раньше - с составления описания должности.

Два правила, необходимых, для составления должностных инструкций:

· разделение обязанностей;

· минимизация привилегий.

Принцип разделения обязанностей предписывает, как распределять роли и ответственность, чтобы один человек не мог нарушить критически важный для организации процесс.

Принцип минимизации привилегий предписывает выделять пользователям только те права доступа, которые необходимы им для выполнения служебных обязанностей.

Основной принцип физической защиты, соблюдение, которое следует постоянно контролировать, формулируется как “непрерывность защиты в пространстве и времени”.

1.3 Основные виды угроз информационной безопасности

Существуют четыре действия, производимые с информацией, которые могут содержать в себе угрозу: сбор, модификация, утечка и уничтожение.

Эти действия являются базовыми для дальнейшего рассмотрения.

Придерживаясь принятой классификации, будем разделять все источники угроз на внешние и внутренние.

Источниками внутренних угроз являются:

1. Сотрудники организации;

2. Программное обеспечение;

3. Аппаратные средства.

Внутренние угрозы могут проявляться в следующих формах:

· ошибки пользователей и системных администраторов;

· нарушения сотрудниками фирмы установленных регламентов сбора, обработки, передачи и уничтожения информацию;

· ошибки в работе программного обеспечения;

· отказы и сбои в работе компьютерного оборудования.

К внешним источникам угроз относят:

1. Компьютерные вирусы и вредоносные программы;

2. Организации и отдельные лица;

3. Стихийные бедствия.

Формами проявления внешних угроз являются:

· заражение компьютеров вирусами или вредоносными программами;

· несанкционированный доступ (НДС) к корпоративной информации;

· информационный мониторинг со стороны конкурирующих структур, разведывательных и специальных служб;

· действия государственных структур и служб, сопровождающиеся сбором, модификацией, изъятием и уничтожением информации;

· аварии, пожары, техногенные катастрофы.

По способам воздействия на объекты информационной безопасности угрозы подлежат следующей классификации: информационные, программные, физические, радиоэлектронные и организационно - правовые.

К информационным относятся:

· несанкционированный доступ к информационным ресурсам;

· незаконное копирование данных в информационных системах;

· хищение информации из библиотек, архивов, банков и баз данных;

· нарушение технологии обработки информации;

· противозаконный сбор и использование информации;

· использование информационного оружия.

К программным угрозам относят:

· использование ошибок и “дыр” в ПО;

· компьютерные вирусы и вредоносные программы;

· установка “закладных” устройств;

К физическим угрозам относят:

· уничтожение или разрушение средств обработки информации и связи;

· хищение носителей информации;

· хищение программных или аппаратных ключей и средств криптографической защиты данных;

К радиоэлектронным угрозам относятся:

· внедрение электронных устройств перехвата информации в технические средства и помещения;

· перехват, расшифровка, подмена и уничтожение информации в каналах связи.

К организационно - правовым угрозам относятся:

· закупки не совершенных или устаревших информационных технологий и средств информации;

· нарушение требований законодательства и задержка в принятии необходимых нормативно - правовых решений в информационной сфере.

ГЛАВА II. СРЕДСТВА И МЕТОДЫ ОБЕСПЕЧЕНИЯ ИНОРМАЦИОННОЙ БЕЗОПАСНОСТИ

2.1 Технические средства защиты информации

Технические (аппаратные) средства - это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки. К аппаратным средствам защиты относят различные электронные, электронно-механические, электронно-оптические устройства. Наибольшее распространение получают следующие аппаратные средства:

· специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;

· устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;

· схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных;

· устройства для шифрования информации (криптографические методы¹¹ Изначально криптография изучала методы шифрования информации -- обратимого преобразования открытого (исходного) текста на основе секретного алгоритма и/или ключа в шифрованный текст (шифротекст)).

Для защиты периметра информационной системы создаются:

· системы охранной и пожарной сигнализации;

· системы цифрового видео наблюдения;

· системы контроля и управления доступом (СКУД).

Защита информации от ее утечки техническими каналами связи обеспечивается следующими средствами и мероприятиями:

· использование экранированного кабеля и прокладка проводов и кабелей в экранированных конструкциях;

· установка на линиях связи высококачественных фильтров;

· постройка экранированных помещений;

· использование экранированного оборудования;

· установка активных систем зашумления;

· создание контролируемых зон.

2.2 Программные средства защиты информации

Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаление остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств - универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки - ограниченная функциональность сети, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров.

Выделяют следующие виды программных средств:

· Встроенные средства защиты информации;

· Специализированные программные средства защиты информации от несанкционированного доступа обладают в целом лучшими возможностями и характеристиками, чем встроенные средства.

· Межсетевые экраны - между локальной и глобальной сетями создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Боле5е защищенная разновидность метода - это способ маскарада, когда весь исходящий из локальной сети трафик посылается от имени firewall¹¹ Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача -- не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации. - сервера, делая локальную сеть практически невидимой;

· Proxy-servers (proxy - доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью - маршрутизация как таковая отсутствует, а обращения из локальной сети в глобальную происходят через специальные серверы - посредники. Очевидно, что при этом обращения из глобальной сети в локальную становятся невозможными в принципе. Этот метод не дает достаточной защиты против атак на более высоких уровнях - например, на уровне приложения (вирусы, код Java¹¹ объектно-ориентированный язык программирования, разработанный компанией Sun Microsystems (в последующем, приобретённой компанией Oracle) и JavaScript²² обычно используется как встраиваемый язык для программного доступа к объектам приложений. Наиболее широкое применение находит в браузерах как язык сценариев для придания интерактивности веб-страницам.);

· VPN (виртуальная частная сеть) позволяет передавать секретную информацию через сети, в которых возможно прослушивание трафика посторонними людьми.

2.3 Организационные средства защиты информации

Организационные средства складываются из организационно - технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно - правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия). Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки - высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении.

К организационным мероприятиям можно отнести следующие:

· четкое разделение персонала с выделением помещений или расположением подразделений компактными группами на некотором удалении друг от друга;

· ограничения доступа в помещениях посторонних лиц или сотрудников других подразделений. Совершенно необходимо запирать и опечатывать помещения при сдаче их под охрану после окончания работы;

· жесткое ограничение круга лиц, имеющих доступ к каждому компьютеру. Выполнение данного требования является самым трудным , поскольку довольно часто нет средств на покупку ПК для каждого сотрудника;

· требование от сотрудниках в перерывах выключать компьютер или использовать специальные программы - хранители экранов, которые позволяют стереть информацию с экрана монитора и закрыть паролем возможность снятия режима хранителя экрана.

2.4 Методы защиты информации

По убеждению экспертов «Лаборатории Касперского», задача обеспечения информационной безопасности должна решаться системно. Это означает, что различные средства защиты должны применяться одновременно и под централизованным управлением. При этом компоненты системы должны «знать» о существовании друг друга, взаимодействовать и обеспечивать защиту как от внешних, так и от внутренних угроз.

На сегодняшний день существует большой арсенал методов обеспечения информационной безопасности:

· средства идентификации и аутенфикации пользователей (так называем комплекс ЗА);

· средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям;

· межсетевые экраны;

· виртуальные частные сети;

· средства контентной фильтрации;

· инструменты проверки целостности содержимого дисков;

· средства антивирусной защиты;

· системы обнаружения уязвимости сетей и анализаторы сетевых атак.

Каждое из перечисленных средств может быть использовано как самостоятельно, так и в интеграции с другими. Это делает возможным создание систем информационной защиты для сетей любой сложности и конфигурации, не зависящих от используемых платформ.

«Комплекс ЗА» включает аутентификацию (или идентификацию), авторизацию и администрирование. Идентификация и авторизация - это ключевые элементы информационной безопасности. При попытке доступа к информационным активам функция идентификации дает ответ на вопрос: «Кто вы?» и «Где вы?» - являетесь ли вы авторизированным пользователем сети. Функция авторизации отвечает за то, к каким ресурсам конкретный пользователь имеет доступ. Функция администрирования заключается в наделении пользователя определенными идентификационными особенностями в рамках данной сети и определении объема допустимых для него действий.

Системы шифрования позволяют минимизировать потери в случаи несанкционированного доступа к данным, хранящимся на жестком диске или ином носителе, а также перехвата информации при ее пересылке по электронной почте или передачи по сетевым протоколам. Задача данного средства защиты - обеспечение конфиденциальности. Основные требования, предъявляемые к системам шифрования - высокий уровень криптостойкости и легальности использования на территории России (или других государств).

Межсетевой экран представляет собой систему или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхода из нее пакетов данных.

Основной принцип действия межсетевых экранов - проверка каждого пакета данных на соответствие входящего и исходящего IP-адреса базе разрешенных адресов. Таким образом, межсетевые экраны значительно расширяют возможности сегментирования информационных сетей и контроля за циркулированием данных.

Говоря о криптографии и межсетевых экранов, следует упомянуть о защищенных виртуальных частных сетях (Virtual Private Network - VPN). Их использование позволяет решить проблемы конфиденциальности и целостности данных при их передачи по открытым коммуникационным каналам. Использование VPN можно свести к решению трех основных задач:

1. Защита информационных потоков между различными офисами компании (шифрование информации производится только на выходе во внешнюю сеть);

2. Защищенный доступ удаленных пользователей сети к информационным ресурсам компании, как правило, осуществляемый через интернет;

3. Защита информационных потоков, между отдельными приложениями внутри корпоративных сетей (этот аспект также очень важен, поскольку большинство атак осуществляется из внутренних сетей).

Эффективное средство защиты от потери конфиденциальной информации - фильтрация содержимого входящей и исходящей электронной почты. Проверка самих почтовых сообщений и вложений в них на основе правил, установленных в организации, позволяет также обезопасить компании от ответственности по судебным искам и защитить их сотрудником от спама. Средства контентной фильтрации позволяют проверять файлы всех распространенных форматов, в том числе сжатые и графические. При этом пропускная способность сети практически не меняется.

Все изменения на рабочей станции или на сервере могут быть отслежены администратором сети или другим авторизированным пользователем благодаря технологии проверки целостности содержимого жесткого диска (integrity checking). Это позволяет обнаруживать любые действия с файлами (изменение, удаление или же просто открытие) и идентифицировать активность вирусов, несанкционированный доступ или кражу данных авторизированными пользователями. Контроль осуществляется на основе анализа контрольных сумм файлов (CRC-сумм).

Современные антивирусные технологии позволяют выявить практически все уже известные вирусные программы через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработанные технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем (Windows, Unix- и Linux-системы, Novell) на процессорах различных типов.

Фильтры спама значительно уменьшают непроизводительные трудозатраты, связанные с разбором спама, снижают трафик и загрузку серверов, улучшают психологический фон в коллективе и уменьшают риск вовлечения сотрудников компании в мошеннические операции. Кроме того, фильтры спама уменьшают риск заражения новыми вирусами, поскольку сообщения, содержащие вирусы (даже еще не вошедшие в базы антивирусных программ) часто имеют признаки спама и отфильтровываются. Правда, положительный эффект от фильтрации спама может быть перечеркнут, если фильтр наряду мусорными удаляет или маркирует как спам и полезные сообщения, деловые или личные.

ГЛАВА III. ИНФОРМАЦОННАЯ БЕЗОПАСНОСТИ В СОВРЕМЕНОМ МИРЕ

3.1 Информационная безопасность в Интернет

Общение с использованием новейший средств коммуникаций вобрал в себя Интернет. Всемирная информационная сеть развивается большими темпами, количество участников постоянно растет. По некоторым данным, в сети зарегистрировано около 1,5 миллиарда страниц. Некоторые «живут» до полугода, а некоторые работают на своих владельцев в полную силу и приносят большую прибыль. Информация в сети охватывает все стороны жизнедеятельности человека и общества. Пользователи доверяют этой форме себя и свою деятельность. Однако опыт работы в области компьютерных технологий полон примеров недобросовестного использования Интернет.

Специалисты говорят, что главная причина проникновения в компьютерные сети - беспечность и неподготовленность пользователей. Это характерно не только для рядовых пользователей, но и для специалистов в области компьютерной безопасности. Вместе с тем причина не только в халатности, но и в сравнительно небольшом опыте специалистов по безопасности в сфере информационных технологий. Связано это со стремительным развитием рынка сетевых технологий и самой сети Интернет.

Все эти и другие с ними связанные проблемы можно решить с помощью наличия в организации проработанного документа, отражающего политику информационной безопасности компании. В таком документе должны быть четко прописаны следующие положения:

· как ведется работа с информацией предприятия;

· кто имеет доступ;

· система копирования и хранения данных;

· режим работы на ПК;

· наличие охранных и регистрационных документов на оборудование и программное обеспечение;

· выполнение требований к помещению, где располагается ПК и рабочее место пользователя;

· наличие инструкций и наличие технической документации;

· наличие рабочих журналов и порядок их ведения.

Кроме того, необходимо постоянно отслеживать развитие технических и информационных систем, публикуемых в периодической печати или следить за событиями, обсуждаемыми на подобных семинарах.

3.2 Информационная безопасность в современном бизнесе

информационный безопасность программный угроза

Обеспечение информационной безопасности компании сегодня - не роскошь, а объективно необходимая составляющая эффективного управления бизнесом. В современных условиях непрерывного повышения ценности информационных ресурсов с одной стороны, и постоянного роста правонарушений в области информационных технологий, с другой, построение эффективной системы комплексного обеспечения информационной безопасности корпорации становится одним из ключевых факторов, обслуживающий конкурентоспособность компаний.

Построение эффективной системы обеспечения информационной безопасности компании невозможно без применения комплексных мер по защите ее информационных ресурсов.

Стремительное развитие информационных технологий последних лет сопровождается не менее стремительной эволюцией угроз информационной безопасности, мишенью которых все чаще становятся корпоративные информационные системы. И если совсем недавно меры по обеспечению информационной безопасности в большинстве российских компаний обычно сводились к защите от вирусов и спама, то на сегодня перечень потенциальных угроз информационной безопасности бизнес - организаций значительно расширился.

В частности, в связи с широким использованием компаниями сети Интернет в коммерческих и маркетинговых целях все актуальнее становится проблема т.н. DOS-атак (атака типа «Отказ в обслуживании»). Компьютеры легитимных пользователей инфицируются с помощью массовой рассылки или другим способом специально разработанным ПО (т.н. «зомбификация»), которое в некоторый момент срабатывает по внешнему событию и начинает массированную отправку IP-пакетов на выбранный злоумышленником IP-адрес (например на WEB-сервер атакуемой компании). Таким образом, на некоторое время парализуется работа сервера, что может нанести большой ущерб роботе компании, особенно если бизнес компании ориентирован на Интернет аудиторию.

Очевидно, что в условиях все возрастающей агрессивности информационной среды обеспечения информационной безопасности бизнеса не может ограничиваться точечным решением отдельных проблем, необходимо применение комплексных мер по созданию эффективной системы защиты информации компании и управлению ею.

Эффективная система обеспечения информационной безопасности компании должна контролировать три качественных состояния защищаемых данных: конфиденциальность, целостность, доступность. Создание такой системы в организации должно вестись в двух направлениях: разработка общекорпоративной политики безопасности (организационные меры по обеспечению информационной безопасности компании, регламент работы со средствами обеспечения информационной безопасности, регламент работы кадровой службы и службы безопасности с персоналом), и внедрение сертифицированных программно-аппаратных решений для защиты конфиденциальной информации.

Сертификация программных продуктов в соответствии с международными стандартами информационной безопасности - залог их надежности и конкурентоспособности.

Бурное развитие в области информационных технологий привело к тому, что в 1999 году в рамках Международной организации по стандартизации (ISO) впервые был разработан международный стандарт безопасности ISO 15408, описывающий требования к защищенности информационных систем и их отдельных компонентов. Этот стандарт получил название Common Criteria for Information Technology Security Evaluation - общие критерии оценки безопасности информационных технологий. До этого времени основными методиками оценки безопасности информационных систем служили американский стандарт US TCSEC (US Trusted Computer Systems Evaluation Criteria).

Введение международного стандарта в области обеспечения информационной безопасности имело большое значение, как для разработчиков компьютерных информационных систем, так и для их пользователей. Став своего рода гарантией качества и надежности, сертифицированных по нему программных продуктов, стандарт Common Criteria, позволил потребителям лучше ориентироваться при выборе программного обеспечения и приобретать продукты, соответствующие их требованиям безопасности, и, как следствие этого, повысил конкурентоспособность IT-компаний, сертифицирующих свою продукцию в соответствии с ISO 15408.

В России действует стандарт ГОСТ/ИСО МЭК 15408, который является аналогом стандарта ISO 15408, так как по содержанию они совпадают. Однако официально процедура ратификации Россией «Common Criteria» еще не произошла.

Другой известный в области защиты стандарт - BS7799. Он был утвержден в качестве государственного стандарта Великобритании в 1995 году. От стандарта Common Criteria ¹¹ Общеизвестным является более короткое название Общие критерии (Common Criteria, CC, или ОК). Международный стандарт (ISO/IEC 15408[1], ИСО/МЭК 15408-2002) по компьютерной безопасностион отличается тем, что регламентирует политику информационной безопасности на корпоративном уровне и устанавливает требования ко всей системе управления информационной безопасностью, в рамках которой можно выбирать и использовать различные инструменты, подходящие для той или иной компании.

Основной целью при разработки данного стандарта было создание общих критериев формирования, внедрения и оценки эффективности системы управления информационной безопасностью. В 1999 году первая часть стандарта BS 7799, содержащая 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью организации, была переработана и издана как в рамках Международной организации по стандартизации в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000).

В международной практике построения надежных информационных систем и управления ими также широко используются такие стандарты как COBIT и ITIL. Оба стандарта основываются на описании процессного подхода к управлению бизнесом и его информационной безопасностью, представляя деятельность компании и ее IT - подразделения как совокупность взаимосвязанных процессов, и служат для систематизации работы ИТ - подразделений и снижения издержек компании.

Каждый из рассмотренных выше международных стандартов информационной безопасности имеет свои ограничения. Для наиболее эффективной защиты информационных активов российских компаний необходимо комплексное использование всех их сильных сторон, предварительно адаптируемых в соответствии с требованиями российской нормативной базы.

Недооценка угроз и дефицит финансирования - основные препятствия на пути построения эффективной системы управления информационной безопасностью российских компаний.

Основной проблемой российских компаний в области обеспечения информационной безопасности является недостаточное внимание руководства компаний к проблемам защиты ценой информации и недооценка ими существующих угроз - внешних и особенно внутренних.

Наиболее серьезно к вопросу защиты ценой информации подходят компании, работающие в таких секторах рынка, как: информационные технологии, банковский сектор, сотовая связь, операции с ценными бумагами. Эффективность деятельности этих компаний напрямую связана с сохранностью их конфиденциальной информации их клиентов. При этом руководители большинства остальных компаний, будучи осведомленными о существующих угрозах информационной безопасности их бизнеса, полагают, что риск утечки информации из их организации слишком несущественен для того, чтобы поставить проблему обеспечения информационной безопасности в список своих стратегических приоритетов.

Вторая немаловажная проблема - недостаточное финансирование для разработки и внедрения, комплексных мер по обеспечению безопасности информационных активов российских компаний - является логическим следствием первой. Согласно существующим многочисленным оценкам, существующих в мировой практике, бюджеты российских компаний на обеспечение информационной безопасности в три - четыре раза меньше, чем у их иностранных коллег.

Проблема недостаточного финансирования обуславливается еще и тем, что у российских компаний в большинстве случаев отсутствуют понимание и методика оценки «стоимости информации», категории, которая в наибольшей степени определяет бюджет, необходимый для обеспечения информационной безопасности.

Несмотря на то, что понимание руководителями российских компаний необходимости комплексного подхода к обеспечению информационной безопасности бизнеса в последние годы растет, в большинстве организаций все еще не сформулированы основные положения политики в области информационной безопасности и не сформированы соответствующие организационные структуры. По мнению компании Gartner состав мер, применяемых той или иной компанией для обеспечения собственной информационной безопасности, зависит от уровня ее зрелости.

Предложенная компанией Gartner классификация уровней зрелости предприятий по обеспечению информационной безопасности выделяет четыре уровня:

1. Руководство компании не осознает важности проблем связанных с информационной безопасностью;

2. Проблема информационной безопасности воспринимается руководством как техническая;

3. Руководство компании осознает необходимость внедрения комплекса организационных и технических мер по обеспечению информационной безопасности;

4. Обеспечение информационной безопасности является частью корпоративной культуры.

Каждому из перечисленных уровней соответствует определенный набор технических и организационных средств обеспечения информационной безопасности и объем финансирования, размер которых напрямую зависит от места, занимаемого информационной безопасностью в списке приоритетов руководства компании.

Таким образом, при оценки актуальности проблемы информационной безопасности компании определяющим фактором является величина ущерба, нанесенного компании в случае реализации всего комплекса угроз информационной безопасности. По статистике стоимость мероприятий по обеспечению информационной безопасности компании составляет примерно 10-30% от этой величины.

Следовательно, приоритетными направлениями деятельности руководства компании по обеспечению ее информационной безопасности должны стать: во-первых, грамотная и адекватная оценка совокупности существующих угроз, и во-вторых, разработка корпоративной политики, направленной на обеспечение всех аспектов информационной безопасности компании.

3.3 Информационная безопасность государства

Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской инфраструктуры, реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.

Что касается интересов личности, то конституционное право человека на сбор и распространение информации вовсе не означает, что он может собирать любую информацию и распространять информацию без каких-либо ограничений. Право одного субъекта не должно нарушать право другого.

Интересы общества не сводятся исключительно к интересам отдельных его членов. С одной стороны, общество должно обеспечивать интересы личности, с другой, - оно само как целое стремится самоопределиться среди других, ему подобных.

Точно так же интересы государства как на создание условий для реализации конституционных прав и свобод граждан, так и на установление суверенитета и территориальной целостности.

Выделяют четыре основные национальных интересов Российской Федерации в информационной сфере.

Первая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.

Для достижения этого, в частности, требуется:

· обеспечить конституционные права и свободы человека и гражданина свободно искать, получать, передавать, производить и распространять информацию любым законным способом, получать достоверную информацию о состоянии окружающей среды;

· обеспечить конституционные права и свободы человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени;

· укрепить механизмы правового регулирования отношений в области охраны интеллектуальной собственности, создать условия для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации;

· гарантировать свободу массовой информации и запрет цензуры;

· не допускать пропаганду и агитацию, которые способствуют разжиганию социальной, расовой, национальной или религиозной ненависти и вражды.

Тайна переписки, телефонных переговоров, почтовых и иных сообщений не носит характера абсолютного права, поскольку перлюстрация (прочтение сообщений граждан государственными органами) может иметь место в случаях, определенных законодательством. Однако, к сожалению, на практике нарушения прав граждан на тайну переписки происходят с завидным постоянством.

Запрет цензуры - одно из самых значительных достижений в регулировании общественных отношений по распространению информации. Однако опять же это вовсе не означает, что распространение информации носит характер вседозволенности.

Нельзя допускать пропаганду и агитацию, которые способствуют разжиганию социальной, расовой, национальной или религиозной ненависти и вражды. Россия была и остается многонациональным государством, в котором бок обок живут люди разных культурных или религиозных традиций.

Вторая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информацией о государственной политики Российской Федерации, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам.

Для достижения этого требуется:

· укреплять государственные средства массовой информации, расширять их возможности по современному доведению достоверной информации до российских и иностранных граждан;

· интенсифицировать формирование открытых государственных информационных ресурсов, повысить эффективность их хозяйственного использования.

Третья составляющая национальных интересов Российской Федерации в информационной сфере включает в себя развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечения накопления, сохранности и эффективного использования отечественных информационных ресурсов.

Для достижения этого требуется:

· развивать и совершенствовать инфраструктуру единого информационного пространства Российской Федерации;

· развивать отечественную индустрию информационных услуг и повышать эффективность использования государственных информационных ресурсов;

· развивать производство в Российской Федерации конкурентоспособных средств и систем информатизации, телекоммуникаций и связи, расширять участие России в международной кооперации производителей этих средств и систем;

· обеспечить государственную поддержку отечественных фундаментальных и прикладных исследований, разработок в сферах информатизации, телекоммуникации и связи.

Информационные технологии развиваются в настоящее время достаточно интенсивно, не случайно многие производители электроники с мировым именем выразили желание инвестировать в Россию, поскольку считают ее емким и динамичным рынком. Но нужно также поддерживать отечественные разработки дотациями из бюджета: пока они осуществляются не в достаточном объеме. Индустрия информационных услуг уже давно прошла стадию становления и представляет собой достаточно налаженную и разветвленную инфраструктуру.

Четвертая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.

В этих целях, в частности, необходимо:

· интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля их эффективности;

· обеспечить защиту сведений, составляющих государственную тайну;

· расширять международное сотрудничество Российской Федерации в области развития и безопасного использования информационных ресурсов, противодействия угрозе развязывания противоборства в информационной сфере.

Ученые часто говорят об “информационной войне” как о возможном способе решения межгосударственных конфликтов. Итог информационной войны предрешен тогда, когда одна сторона разрушает телекоммуникационную инфраструктуру противника. А без последней невозможно эффективное ведение “традиционной” войны. Представляется, что употребляемый в тексте Доктрины термин “противоборство” означает именно информационную войну.

По своей общей направленности угрозы информационной безопасности Российской Федерации подразделяются на следующие виды:

· угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;

· угрозы информационному обеспечению государственной политики РФ;

· угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов (противодействие доступу РФ к новейшим информационным технологиям, взаимовыгодному и равноправному участию российских производителей в мировом разделении труда в индустрии информационных услуг, средств информатизации, телекоммуникации и связи, информационных продуктов, а также создание условий для усиления технологической зависимости России в области современных информационных технологий, закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов, не уступающих по своим характеристикам зарубежным образцам, вытеснение с отечественного рынка российских производителей средств информатизации, телекоммуникации и связи, увеличение оттока за рубеж специалистов и правообладателей интеллектуальной собственности). Необходимо отметить, что отток специалистов в области физики, математики, биологии и др. приобрел воистину угрожающие масштабы. Ущерб от этого Российской Федерации и соответственно выгоду для других стран сложно переоценить.

· угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России (противоправные сборы и использование информации, нарушения технологии обработки информации, внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия, разработка и распространение программ, нарушающих нормальное функционирование информационных систем, в том числе систем защиты информации, уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникации и связи, воздействие на парольно - ключевые системы защиты автоматизированных систем обработки и передачи информации, утечка информации по техническим каналам, внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций независимо от формы собственности и др.).