Информационная безопасность
Основные задачи в области обеспечения информационной безопасности Российской Федерации. Базовые угрозы информационным системам. Организация защиты информации от несанкционированного доступа. Вредоносное программное обеспечение. Создание цифровой подписи.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | дипломная работа |
| Язык | русский |
| Дата добавления | 08.11.2013 |
| Размер файла | 64,3 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
ВВЕДЕНИЕ
Информационная безопасность как важнейшая составляющая общей безопасности во многом определяет общую и экономическую безопасность на всех уровнях. Безопасность государства в расширенном определении означает устойчивое геополитическое положение страны, безопасность жизнедеятельности государственных и общественных институтов, предприятий, организаций, сферы услуг и населения.
Появление новых информационных технологий и развитие мощных компьютерных систем хранения и обработки информации повысили уровни защиты информации и вызвали необходимость в том, чтобы эффективность защиты информации росла вместе со сложностью архитектуры хранения данных. Так постепенно защита экономической информации становится обязательной: разрабатываются всевозможные документы по защите информации; формируются рекомендации по защите информации; даже проводится ФЗ о защите информации, который рассматривает проблемы защиты информации и задачи защиты информации, а также решает некоторые уникальные вопросы защиты информации.
Таким образом, угроза защиты информации сделала средства обеспечения информационной безопасности одной из обязательных характеристик информационной системы.
На сегодняшний день существует широкий круг систем хранения и обработки информации, где в процессе их проектирования фактор информационной безопасности Российской Федерации хранения конфиденциальной информации имеет особое значение. К таким информационным системам можно отнести, например, банковские или юридические системы безопасного документооборота и другие информационные системы, для которых обеспечение защиты информации является жизненно важным для защиты информации в информационных системах.
Данная курсовая работа позволит дать четкое понятие информационной безопасности и определить ее место в системе национальной безопасности; подходы к организации защиты информации от несанкционированного доступа; государственное и правовое регулирование информационной безопасности в Российской Федерации. Курсовая работа подробно рассматривает виды угроз информационным системам и информационным ресурсам и способы защиты информационной безопасности.
1. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ РФ
1.1 Место информационной безопасности и в системе национальной безопасности
Прежде, чем определить само понятие информационной безопасности, рассмотрим более общее понятие безопасности и соответственно то место, которое информационная безопасность занимает в системе национальной безопасности.
Общее понятие "безопасность", широко употребляемое в русском языке, характеризует собой "положение, при котором не угрожает опасность кому-нибудь и чему-нибудь" [22]. В. Даль указывал, что безопасность есть отсутствие опасности, сохранность, надежность [7]. По С. Ожегову безопасность - это "состояние, при котором не угрожает опасность, есть защита от опасности" [21].
Однако "защита", "защищенность" - это только одна сторона значения слова безопасность. С другой стороны, безопасность означает отсутствие угрозы со стороны объекта, явления или процесса, о безопасности которого идет речь, его безвредность.
В связи с этим, когда мы говорим о безопасности чего-либо или кого-либо, необходимо рассматривать два плана: внутренний - состояние защищенности от внешних угроз и внешний - безвредность для окружающих.
Понятия безопасности законодатель привел в ст. 1 Закона о безопасности [10], где безопасность определяется как "состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз".
В Концепции национальной безопасности РФ существенно дополнены и конкретизированы положения, ранее закрепленные в Законе о безопасности.
В Концепции введено понятие национальных интересов как совокупности сбалансированных интересов личности, общества и государства. При этом ограничен перечень областей, национальные интересы в которых определяют предмет национальной безопасности: в области экономики, в социальной, внутриполитической, международной, информационной сферах, в области военной (оборонной), пограничной и экологической безопасности.
Интересы личности определены в Концепции как полное обеспечение конституционных прав и свобод, личной безопасности, повышение качества и уровня жизни, физическое, духовное и интеллектуальное развитие. Интересы общества установлены в упрочении демократии, создании правового государства, достижении и поддержании общественного согласия, духовном обновлении России. Интересы государства состоят в незыблемости конституционного строя, суверенитета и территориальной целостности России, в политической, экономической и социальной стабильности, в безусловном обеспечении законности и поддержании правопорядка, в развитии международного сотрудничества.
Таким образом, укрепление информационной безопасности названо в Концепции национальной безопасности РФ в числе важнейших долгосрочных задач. Роль информационной безопасности и ее место в системе национальной безопасности страны определяется также тем, что государственная информационная политика тесно взаимодействует с государственной политикой обеспечения национальной безопасности страны через систему информационной безопасности, где последняя выступает важным связующим звеном всех основных компонентов государственной политики в единое целое [18].
В Доктрине информационной безопасности РФ информационная безопасность Российской Федерации определяется как состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
В научной литературе в составе "информационной сферы общества" выделяют:
- субъекты информационной сферы;
- общественные отношения в информационной сфере;
- информационную инфраструктуру общества;
- информацию [9].
В соответствии с Законом о безопасности и содержанием Концепции национальной безопасности РФ под информационной безопасностью будем понимать состояние защищенности жизненно важных интересов личности, общества и государства в информационной сфере.
1.2 Концепция информационной безопасности Российской Федерации
Совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации представлена в Доктрине информационной безопасности РФ.
На основе анализа положений, содержащихся в доктринальных и нормативных правовых документах, можно выделить следующие жизненно важные интересы в информационной сфере [1].
Для личности:
- соблюдение и реализация конституционных прав и свобод человека и гражданина на поиск, получение, передачу, производство и распространение объективной информации;
- реализация права граждан на неприкосновенность частной жизни, защита информации, обеспечивающей личную безопасность;
- использование информации в интересах не запрещенной законом деятельности, физического, духовного и интеллектуального развития;
- защита права на объекты интеллектуальной собственности;
- обеспечение права граждан на защиту своего здоровья от неосознаваемой человеком вредной информации;
Для общества:
- обеспечение интересов личности в информационной сфере;
- построение правового социального государства;
- упрочение демократии, построение информационного общества;
- духовное обновление общества, сохранение его нравственных ценностей, утверждение в обществе идеалов высокой нравственности, патриотизма и гуманизма, развитие многовековых духовных традиций Отечества, пропаганда национального культурного наследия, норм морали и общественной нравственности;
- достижение и поддержание общественного согласия;
- предотвращение манипулирования массовым сознанием;
- приоритетное развитие современных телекоммуникационных технологий, сохранение и развитие отечественного научного и производственного потенциала;
Для государства:
- создание условий для реализации интересов личности и общества в информационной сфере и их защита;
- формирование институтов общественного контроля за органами государственной власти;
- безусловное обеспечение законности и правопорядка;
- создание условий для гармоничного развития российской информационной инфраструктуры;
- формирование системы подготовки, принятия и реализации решений органами государственной власти, обеспечивающей баланс интересов личности, общества и государства;
- защита государственных информационных систем и государственных информационных ресурсов, в том числе государственной тайны;
- защита единого информационного пространства страны;
развитие равноправного и взаимовыгодного международного сотрудничества.
К основным задачам в области обеспечения информационной безопасности относятся:
- формирование и реализация единой государственной политики по обеспечению защиты национальных интересов от угроз в информационной сфере, реализации конституционных прав и свобод граждан в сфере информационной деятельности;
- разработка и создание механизмов формирования и реализации государственной информационной политики России, в том числе разработка методов повышения эффективности участия государства в формировании информационной политики государственных телерадиовещательных организаций, других государственных средств массовой информации;
- совершенствование законодательства Российской Федерации в области обеспечения информационной безопасности;
- определение полномочий органов государственной власти Российской Федерации, субъектов Российской Федерации, органов местного самоуправления и ответственности их должностных лиц, юридических лиц и граждан в области обеспечения информационной безопасности;
- развитие и совершенствование системы обеспечения информационной безопасности Российской Федерации, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности Российской Федерации, а также системы противодействия этим угрозам;
- координация деятельности органов государственной власти по обеспечению информационной безопасности;
- совершенствование и защита отечественной информационной инфраструктуры, ускорение развития новых информационных технологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки и анализа информации с учетом вхождения России в глобальную информационную инфраструктуру;
- проведение единой технической политики в области обеспечения информационной безопасности Российской Федерации; разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности Российской Федерации, а также сертификации этих систем и средств; развитие стандартизации информационных систем на базе общепризнанных международных стандартов и их внедрение для всех видов информационных систем;
- обеспечение технологической независимости Российской Федерации, развитие отечественной индустрии телекоммуникационных и информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке;
- развитие научно-практических основ обеспечения информационной безопасности Российской Федерации с учетом современной геополитической ситуации, условий политического и социально-экономического развития России и реальности угроз применения "информационного оружия";
- разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий, прежде всего, используемых в системах управления войсками и оружием, экологически опасными и экономически важными производствами;
- создание и развитие современной защищенной технологической основы управления государством в мирное время, в чрезвычайных ситуациях и в военное время;
- защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти, на предприятиях оборонного комплекса, в том числе государственной тайны;
- создание условий для успешного развития негосударственного компонента в сфере обеспечения информационной безопасности, осуществления эффективного гражданского контроля за деятельностью органов государственной власти;
- защиты культурного и исторического наследия (в том числе музейных, архивных, библиотечных фондов, основных историко-культурных объектов);
- сохранение традиционных духовных ценностей при важнейшей роли Русской православной церкви и церквей других конфессий;
- пропаганда средствами массовой информации элементов национальных культур народов России, духовно-нравственных, исторических традиций, норм общественной жизни и передового опыта подобной пропагандистской деятельности;
- повышение роли русского языка как государственного языка и языка межгосударственного общения народов России и государств - участников СНГ;
- создание оптимальных социально-экономических условий для осуществления важнейших видов творческой деятельности и функционирования учреждений культуры;
- противодействие угрозе развязывания противоборства в информационной сфере;
- создание единой системы подготовки кадров в области обеспечения информационной безопасности;
- организация международного сотрудничества по обеспечению информационной безопасности при интеграции России в мировое информационное пространство на условиях равноправного партнерства
1.3 Правовые основы защиты информации и закон о защите информации
Правовые основы защиты информации - это законодательный орган защиты информации, в котором можно выделить до 4 уровней правового обеспечения информационной безопасности информации и информационной безопасности предприятия.
Первый уровень правовой основы защиты информации
Первый уровень правовой охраны информации и защиты состоит из международных договоров о защите информации и государственной тайны, к которым присоединилась и Российская Федерация с целью обеспечения надежной информационной безопасности РФ. Кроме того, существует доктрина информационной безопасности РФ, поддерживающая правовое обеспечение информационной безопасности нашей страны.
Правовое обеспечение информационной безопасности РФ:
· Международные конвенции об охране информационной собственности, промышленной собственности и авторском праве защиты информации в интернете;
· Конституция РФ (ст. 23 определяет право граждан на тайну переписки, телефонных, телеграфных и иных сообщений);
· Гражданский кодекс РФ (в ст. 139 устанавливается право на возмещение убытков от утечки с помощью незаконных методов информации, относящейся к служебной и коммерческой тайне);
· Уголовный кодекс РФ (ст. 272 устанавливает ответственность за неправомерный доступ к компьютерной информации, ст. 273 -- за создание, использование и распространение вредоносных программ для ЭВМ, ст. 274 -- за нарушение правил эксплуатации ЭВМ, систем и сетей);
· Федеральный закон от 27 июля 2006 г. №149-ФЗ "Об информации, информационных технологиях и о защите информации" (ст.5 определяет категории доступа информации: общедоступная информация и информация ограниченного досутпа; ст.7 дает определение общедоступной информации и какие сведения могут к ней относиться; ст.8 определяет к какой информации, доступ не может быть ограничен; ограничение доступа к информации определяется ст.9; ст.13 определяет типы информационных систем: государственные, муниципальные и иные информационные системы; порядок защиты информации определен ст.16)
· Федеральный закон "О государственной тайне" от 21.07.93 № 5485-1 (ст. 5 устанавливает перечень сведений, составляющих государственную тайну; ст. 8 -- степени секретности сведений и грифы секретности их носителей: "особой важности", "совершенно секретно" и "секретно"; ст. 20 -- органы по защите государственной тайны, межведомственную комиссию по защите государственной тайны для координации деятельности этих органов; ст. 28 -- порядок сертификации средств защиты информации, относящейся к государственной тайне);
· Федеральные законы "О лицензировании отдельных видов деятельности" от 08.08.2001 № 128-ФЗ, "О связи" от 16.02.95 № 15-ФЗ, "Об электронной цифровой подписи" от 10.01.02 № 1-ФЗ, "Об авторском праве и смежных правах" от 09.07.93 № 5351-1, "О право вой охране программ для электронных вычислительных машин и баз данных" от 23.09.92 № 3523-1 (ст. 4 определяет условие признания авторского права -- знак с указанием правообладателя и года первого выпуска продукта в свет; ст. 18 -- защиту прав на программы для ЭВМ и базы данных путем выплаты компенсации в размере от 5000 до 50 000 минимальных размеров оплаты труда при нарушении этих прав с целью извлечения прибыли или путем возмещения причиненных убытков, в сумму которых включаются полученные нарушителем доходы).
Как видите, правовое обеспечение информационной безопасности весьма на высоком уровне, и многие компании могут рассчитывать на полную экономическую информационную безопасность и правовую охрану информации и защиту, благодаря ФЗ о защите информации.
Второй уровень правовой защиты информации
На втором уровне правовой охраны информации и защиты - это подзаконные акты: указы Президента РФ и постановления Правительства, письма Высшего Арбитражного Суда и постановления пленумов ВС РФ.
Третий уровень правового обеспечения системы защиты экономической информации
К данному уровню обеспечения правовой защиты информации относятся ГОСТы безопасности информационных технологий и обеспечения безопасности информационных систем. Также на третьем уровне безопасности информационных технологий присутствуют руководящие документы, нормы, методы информационной безопасности и классификаторы, разрабатывающиеся государственными органами.
Четвертый уровень стандарта информационной безопасности
Четвертый уровень стандарта информационной безопасности защиты конфиденциальной информации образуют локальные нормативные акты, инструкции, положения и методы информационной безопасности и документация по комплексной правовой защите информации рефераты по которым часто пишут студенты, изучающие технологии защиты информации, компьютерную безопасность и правовую защиту информации
1.4 Термины и определения системы защиты информации
Статьей 2 Федерального закона от 27 июля 2006 г. №149-ФЗ "Об информации, информационных технологиях и о защите информации" даны определения следующим понятиям об информации, информационных технологиях и информационных системах:
1) информация - сведения (сообщения, данные) независимо от формы их представления;
2) информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
3) информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
4) информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;
5) обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;
6) доступ к информации - возможность получения информации и ее использования;
7) конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
8) предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;
9) распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц;
10) электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети;
11) документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;
12) оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
Национальный стандарт Российской Федерации ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. N 373-ст) дает полный перечень основных понятий относящихся к защите информации:
Защита информации; ЗИ: Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Термины, относящиеся к видам защиты информации
правовая защита информации: Защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.
техническая защита информации; ТЗИ: Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.
криптографическая защита информации: Защита информации с помощью ее криптографического преобразования.
физическая защита информации: Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты (Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты. К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации).
Термины, относящиеся к способам защиты информации
способ защиты информации: Порядок и правила применения определенных принципов и средств защиты информации.
защита информации от утечки: Защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами (Заинтересованными субъектами могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.)
защита информации от несанкционированного воздействия; ЗИ от НСВ: Защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
защита информации от непреднамеренного воздействия: Защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
защита информации от разглашения: Защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации.
защита информации от несанкционированного доступа; ЗИ от НСД: Защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации (Заинтересованными субъектами, осуществляющими несанкционированный доступ к защищаемой информации, могут быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо)
защита информации от преднамеренного воздействия; ЗИ от ПДВ: Защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях.
защита информации от [иностранной] разведки: Защита информации, направленная на предотвращение получения защищаемой информации [иностранной] разведкой.
Термины, относящиеся к замыслу защиты информации
замысел защиты информации: Основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность осуществления технических и организационных мероприятий, необходимых для достижения цели защиты информации.
цель защиты информации: Заранее намеченный результат защиты информации (Результатом защиты информации может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию).
система защиты информации: Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.
политика безопасности (информации в организации): Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
безопасность информации [данных]: Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.
Термины, относящиеся к объекту защиты информации
объект защиты информации: Информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации.
защищаемая информация: Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации (Собственниками информации могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо).
носитель защищаемой информации: Физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
защищаемый объект информатизации: Объект информатизации, предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности.
защищаемая информационная система: Информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности.
Термины, относящиеся к угрозам безопасности информации
угроза (безопасности информации): Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.
фактор, воздействующий на защищаемую информацию: Явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.
источник угрозы безопасности информации: Субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.
уязвимость (информационной системы); брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации (Условием реализации угрозы безопасности обрабатываемой в системе информации может быть недостаток или слабое место в информационной системе. Если уязвимость соответствует угрозе, то существует риск).
вредоносная программа: Программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы.
несанкционированное воздействие на информацию: Воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
преднамеренное силовое электромагнитное воздействие на информацию: Несанкционированное воздействие на информацию, осуществляемое путем применения источника электромагнитного поля для наведения (генерирования) в автоматизированных информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем.
модель угроз (безопасности информации): Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации (Видом описательного представления свойств или характеристик угроз безопасности информации может быть специальный нормативный документ).
Термины, относящиеся к технике защиты информации
техника защиты информации: Средства защиты информации, в том числе средства физической защиты информации, криптографические средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.
средство защиты информации: Техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.
средство контроля эффективности защиты информации: Средство защиты информации, предназначенное или используемое для контроля эффективности защиты информации.
средство физической защиты информации: Средство защиты информации, предназначенное или используемое для обеспечения физической защиты объекта защиты информации.
криптографическое средство защиты информации: Средство защиты информации, реализующее алгоритмы криптографического преобразования информации.
Термины, относящиеся к способам оценки соответствия требованиям по защите информации
оценка соответствия требованиям по защите информации: Прямое или косвенное определение степени соблюдения требований по защите информации, предъявляемых к объекту защиты информации.
лицензирование в области защиты информации: Деятельность, заключающаяся в проверке (экспертизе) возможностей юридического лица выполнять работы в области защиты информации в соответствии с установленными требованиями и выдаче разрешения на выполнение этих работ.
сертификация на соответствие требованиям по безопасности информации: Форма осуществляемого органом по сертификации подтверждения соответствия объектов оценки требованиям по безопасности информации, установленным техническими регламентами, стандартами или условиями договоров (К объектам оценки могут относиться: средство защиты информации, средство контроля эффективности защиты информации).
специальное исследование (объекта защиты информации): Исследование, проводимое в целях выявления технических каналов утечки защищаемой информации и оценки соответствия защиты информации (на объекте защиты) требованиям нормативных и правовых документов в области безопасности информации.
специальная проверка: Проверка объекта информатизации в целях выявления и изъятия возможно внедренных закладочных устройств.
аудиторская проверка информационной безопасности в организации; аудит информационной безопасности в организации: Периодический независимый и документированный процесс получения свидетельств аудита и объективной оценки с целью определить степень выполнения в организации установленных требований по обеспечению информационной безопасности (Аудит информационной безопасности в организации может осуществляться независимой организацией (третьей стороной) по договору с проверяемой организацией, а также подразделением или должностным лицом организации (внутренний аудит).
мониторинг безопасности информации: Постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации.
экспертиза документа по защите информации: Рассмотрение документа по защите информации физическим или юридическим лицом, имеющим право на проведение работ в данной области, с целью подготовить соответствующее экспертное заключение (Экспертиза документа по защите информации может включать в себя научно-техническую, правовую, метрологическую, патентную и терминологическую экспертизу).
анализ информационного риска: Систематическое использование информации для выявления угроз безопасности информации, уязвимостей информационной системы и количественной оценки вероятностей реализации угроз с использованием уязвимостей и последствий реализации угроз для информации и информационной системы, предназначенной для обработки этой информации.
оценка информационного риска: Общий процесс анализа информационного риска и его оценивания.
Термины, относящиеся к эффективности защиты информации
эффективность защиты информации: Степень соответствия результатов защиты информации цели защиты информации.
требование по защите информации: Установленное правило или норма, которая должна быть выполнена при организации и осуществлении защиты информации, или допустимое значение показателя эффективности защиты информации.
показатель эффективности защиты информации: Мера или характеристика для оценки эффективности защиты информации.
норма эффективности защиты информации: Значение показателя эффективности защиты информации, установленное нормативными и правовыми документами.
2. ЗАЩИТА ИНФОРМАЦИИ
Для более глубокого понимания проблемы определим еще два понятия: безопасность информации и защита информации.
Понятие "безопасность информации" распадается на две составляющие:
- безопасность содержательной части (смысла) информации - отсутствие в ней побуждения человека к негативным действиям, умышленно заложенных механизмов негативного воздействия на человеческую психику или негативного воздействия на иной блок информации (например, информация, содержащаяся в программе для ЭВМ, именуемой компьютерным вирусом);
- защищенность информации от внешних воздействий (попыток неправомерного копирования, распространения, модификации (изменения смысла) либо уничтожения.
Таким образом, защита информации входит составной частью в понятие безопасность информации.
2.1 Угрозы информационным системам и информационным ресурсам
Угрозы информационным системам и информационным ресурсам можно условно разделить на четыре основные группы:
- программные - внедрение "вирусов", аппаратных и программных закладок; уничтожение и модификация данных в информационных системах;
- технические, в т.ч. радиоэлектронные, - перехват информации в линиях связи; радиоэлектронное подавление сигнала в линиях связи и системах управления;
- физические - уничтожение средств обработки и носителей информации; хищение носителей, а также аппаратных или программных парольных ключей;
- информационные - нарушение регламентов информационного обмена; незаконные сбор и использование информации; несанкционированный доступ к информационным ресурсам; незаконное копирование данных в информационных системах; дезинформация, сокрытие или искажение информации; хищение информации из баз данных.
Если взять модель, описывающую любую управляемую информационную систему, можно предположить, что возмущающее воздействие на нее может быть случайным. Именно поэтому, рассматривая угрозы безопасности информационных систем, следует сразу выделить преднамеренные и случайные возмущающие воздействия.
Комплекс защиты информации может быть выведен из строя, например из-за дефектов аппаратных средств. Также вопросы защиты информации встают ребром благодаря неверным действиям персонала, имеющего непосредственный доступ к базам данных, что влечет за собой снижение эффективности защиты информации при любых других благоприятных условиях проведения мероприятия по защите информации. Кроме этого в программном обеспечении могут возникать непреднамеренные ошибки и другие сбои информационной системы. Все это негативно влияет на эффективность защиты информации любого вида информационной безопасности, который существует и используется в информационных системах.
В этом разделе рассматривается умышленная угроза защиты информации, которая отличается от случайной угрозы защиты информации тем, что злоумышленник нацелен на нанесение ущерба системе и ее пользователям, и зачастую угрозы безопасности информационных систем - это не что иное, как попытки получения личной выгоды от владения конфиденциальной информацией.
Защита информации от компьютерных вирусов (защита информации в информационных системах) предполагает средства защиты информации в сети, а точнее программно аппаратные средства защиты информации, которые предотвращают несанкционированное выполнение вредоносных программ, пытающихся завладеть данными и выслать их злоумышленнику, либо уничтожить информацию базы данных, но защита информации от компьютерных вирусов неспособна в полной мере отразить атаку хакера или человека, именуемого компьютерным пиратом.
Задача защиты информации и защиты информации от компьютерных вирусов заключается в том, чтобы усложнить или сделать невозможным проникновение, как вирсов, так и хакера к секретным данным, ради чего взломщики в своих противоправных действиях ищут наиболее достоверный источник секретных данных. А так как хакеры пытаются получить максимум достоверных секретных данных с минимальными затратами, то задачи защиты информации - стремление запутать злоумышленника: служба защиты информации предоставляет ему неверные данные, защита компьютерной информации пытается максимально изолировать базу данных от внешнего несанкционированного вмешательства и т.д.
Защита компьютерной информации для взломщика - это те мероприятия по защите информации, которые необходимо обойти для получения доступа к сведениям. Архитектура защиты компьютерной информации строится таким образом, чтобы злоумышленник столкнулся с множеством уровней защиты информации: защита сервера посредством разграничения доступа и системы аутентификации (диплом "защита информации") пользователей и защита компьютера самого пользователя, который работает с секретными данными. Защита компьютера и защита сервера одновременно позволяют организовать схему защиты компьютерной информации таким образом, чтобы взломщику было невозможно проникнуть в систему, пользуясь столь ненадежным средством защиты информации в сети, как человеческий фактор. То есть, даже обходя защиту компьютера пользователя базы данных и переходя на другой уровень защиты информации, хакер должен будет правильно воспользоваться данной привилегией, иначе защита сервера отклонит любые его запросы на получение данных и попытка обойти защиту компьютерной информации окажется тщетной.
Публикации последних лет говорят о том, что техника защиты информации не успевает развиваться за числом злоупотреблений полномочиями, и техника защиты информации всегда отстает в своем развитии от технологий, которыми пользуются взломщики для того, чтобы завладеть чужой тайной.
Существуют документы по защите информации, описывающие циркулирующую в информационной системе и передаваемую по связевым каналам информацию, но документы по защите информации непрерывно дополняются и совершенствуются, хотя и уже после того, как злоумышленники совершают все более технологичные прорывы модели защиты информации, какой бы сложной она не была.
Сегодня для реализации эффективного мероприятия по защите информации требуется не только разработка средства защиты информации в сети и разработка механизмов модели защиты информации, а реализация системного подхода или комплекса защиты информации - это комплекс взаимосвязанных мер, описываемый определением "защита информации". Данный комплекс защиты информации, как правило, использует специальные технические и программные средства для организации мероприятий защиты экономической информации.
Кроме того, модели защиты информации предусматривают Государственный стандарт РФ ГОСТ Р 52069.0-2003 "Защита информации. Система стандартов. Основные положения" (принят постановлением Госстандарта РФ от 5 июня 2003 г. N 181-ст), который содержит нормативно-правовые акты и морально-этические меры защиты информации и противодействие атакам извне. ГОСТ "Защита информации" нормирует определение защиты информации рядом комплексных мер защиты информации, которые проистекают из комплексных действий злоумышленников, пытающихся любыми силами завладеть секретными сведениями. И сегодня можно смело утверждать, что постепенно данный ГОСТ и определение защиты информации рождают современную технологию защиты информации в сетях компьютерных информационных системах и сетях передачи данных.
Виды информационной безопасности, а точнее виды угроз защиты информации на предприятии подразделяются на пассивную и активную.
Пассивный риск информационной безопасности направлен на внеправовое использование информационных ресурсов и не нацелен на нарушение функционирования информационной системы. К пассивному риску информационной безопасности можно отнести, например, доступ к БД или прослушивание каналов передачи данных.
Активный риск информационной безопасности нацелен на нарушение функционирования действующей информационной системы путем целенаправленной атаки на ее компоненты.
К активным видам угрозы компьютерной безопасности относится, например, физический вывод из строя компьютера или нарушение его работоспособности на уровне программного обеспечения.
2.2 Системный подход к организации защиты информации от несанкционированного доступа
Статьей 16 Федерального закона от 27 июля 2006 г. №149-ФЗ "Об информации, информационных технологиях и о защите информации" устанавливается следующее.
Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
Следует отметить, что в целом проблема информационной безопасности включает, наряду с задачами обеспечения защищенности информации и информационных систем, еще два аспекта:
- защиту от воздействия вредоносной информации,
- обеспечение принятия обоснованных решений с максимальным использованием доступной информации.
Обеспечение информационной безопасности призвано решать следующие основные задачи [8]:
выявление, оценка и предотвращение угроз информационным системам и информационным ресурсам;
защита прав юридических и физических лиц на интеллектуальную собственность, а также сбор, накопление и использование информации;
защита государственной, служебной, коммерческой, личной и других видов тайны.
К методам и средствам защиты информации относят организационно-технические и правовые мероприятия информационной защиты и меры защиты информации (правовая защита информации, техническая защита информации, защита экономической информации и т.д.).
Организационные методы защиты информации и защита информации в России обладают следующими свойствами:
· Методы и средства защиты информации обеспечивают частичное или полное перекрытие каналов утечки согласно стандартам информационной безопасности (хищение и копирование объектов защиты информации);
· Система защиты информации - это объединенный целостный орган защиты информации, обеспечивающий многогранную информационную защиту;
Методы и средства защиты информации и основы информационной безопасности включают в себя:
· Безопасность информационных технологий, основанная на ограничении физического доступа к объектам защиты информации с помощью режимных мер и методов информационной безопасности;
· Информационная безопасность организации и управление информационной безопасностью опирается на разграничение доступа к объектам защиты информации - это установка правил разграничения доступа органами защиты информации, шифрование информации для ее хранения и передачи (криптографические методы защиты информации, программные средства защиты информации и защита информации в сетях);
· Информационная защита должна обязательно обеспечить регулярное резервное копирование наиболее важных массивов данных и надлежащее их хранение (физическая защита информации );
· Органы защиты информации должны обеспечивать профилактику заражение компьютерными вирусами объекта защиты информации.
2.3 Защита информации от утечки через наиболее распространенные пути несанкционированного доступа
Любая комплексная система защиты информации после того, как производится аудит информационной безопасности объекта, начинает опираться на наиболее распространенные пути перехвата конфиденциальных данных, поэтому их важно знать, для того чтобы понимать, как разрабатывается комплексная система защиты информации.
Проблемы информационной безопасности в сфере технической защиты информации:
· Перехват электронных излучений. Проблема решается обеспечением защиты информации, передаваемой по радиоканалам связи и обмена данными информационной системы;
· Принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей. Проблема решается с помощью инженерной защитой информацией или физическая защита информации, передаваемой по связевым кабельным линиям передачи данных. Сюда также относится защита информации в локальных сетях, защита информации в интернете и технические средства информационной безопасности;
· применение подслушивающих устройств;
· дистанционное фотографирование, защита информации реферат;
· перехват акустических излучений и восстановление текста принтера;
· копирование носителей информации с преодолением мер защиты;
· маскировка под зарегистрированного пользователя;
· маскировка под запросы системы;
·
· использование программных ловушек;
· использование недостатков языков программирования и операционных систем;
· незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ информации;
· злоумышленный вывод из строя механизмов защиты;
· расшифровка специальными программами зашифрованной: информации;
· информационные инфекции;
· реферат средства защиты информации
Вышеперечисленные пути утечки информации по оценке информационной безопасности требуют высокого уровня технических знаний для того чтобы использовать наиболее эффективные методы и системы защиты информации, кроме этого необходимо обладать высоким уровнем аппаратных и программных средств защиты информации, так как взломщик, охотящийся за ценными сведениями, не пожалеет средств для того, чтобы обойти защиту и безопасность информации системы. Например, физическая защита информации предотвращает использование технических каналов утечки данных к злоумышленнику. Причина, по которой могут появиться подобные "дыры" - конструктивные и технические дефекты решений защиты информации от несанкционированного доступа, либо физический износ элементов средств обеспечения информационной безопасности. Это дает возможность взломщику устанавливать преобразователи, которые образуют некие принципы действующего канала передачи данных, и способы защиты информации должны предусматривать и идентифицировать подобные "жучки".
2.4 Вредоносное программное обеспечение (ПО)
К сожалению, Закон о защите информации работает только в случае, когда нарушитель чувствует и может понести ответственность за несанкционированный обход службы защиты информации. Однако, сегодня существует и постоянно создается гигантское количество вредоносного и шпионского ПО, которое преследует целью порчу информации в базах данных и, хранящихся на компьютерах документов. Огромное количество разновидностей таких программ и их постоянное пополнение рядов не дает возможности раз и навсегда решить проблемы защиты информации и реализовать универсальную систему программно аппаратной защиты информации, пригодной для большинства информационных систем.
Компьютерные вирусы, логические бомбы и т.п. средства могут применяться как на тактическом, так и на оперативном и стратегическом уровнях - природа их воздействия на информационные системы от этого не изменяется.
К видам информационного оружия, которое воздействует посредственно на информацию и программное обеспечение ЭВМ, можно отнести специальные компьютерные программы или части программ, именуемые компьютерными вирусами и логическими бомбами.
Компьютерный вирус - это специально созданная, как правило, небольшая по объему программа для ЭВМ, целью которой является разрушение хранимой в ЭВМ информации и программного обеспечения. Компьютерный вирус воздействует непосредственно на информацию, на ее содержательную часть, увеличивает степень энтропии (хаоса) в определенном объеме сведений.
Диспозиция ст. 273 УК РФ выделяет следующие вредоносные последствия воздействия компьютерных вирусов на информацию: уничтожение, блокирование, модификация, копирование.
Подобные документы
Понятие, цели и задачи информационной безопасности. Угрозы информационной безопасности и способы их реализации. Управление доступом к информации и информационным системам. Защита сетей и информации при работе в Интернете. Понятие об электронной подписи.
контрольная работа [37,1 K], добавлен 15.12.2015Актуальность вопросов информационной безопасности. Программное и аппаратное обеспечения сети ООО "Минерал". Построение модели корпоративной безопасности и защиты от несанкционированного доступа. Технические решения по защите информационной системы.
дипломная работа [2,3 M], добавлен 19.01.2015Безопасность информационной системы как ее способность противостоять различным воздействиям. Виды компьютерных угроз, понятие несанкционированного доступа. Вирусы и вредоносное программное обеспечение. Методы и средства защиты информационных систем.
реферат [25,6 K], добавлен 14.11.2010Классификация угроз информационной безопасности. Ошибки при разработке компьютерных систем, программного, аппаратного обеспечения. Основные способы получения несанкционированного доступа (НСД) к информации. Способы защиты от НСД. Виртуальные частные сети.
курсовая работа [955,3 K], добавлен 26.11.2013Внешние угрозы информационной безопасности, формы их проявления. Методы и средства защиты от промышленного шпионажа, его цели: получение информации о конкуренте, уничтожение информации. Способы несанкционированного доступа к конфиденциальной информации.
контрольная работа [30,5 K], добавлен 18.09.2016Наиболее распространённые пути несанкционированного доступа к информации, каналы ее утечки. Методы защиты информации от угроз природного (аварийного) характера, от случайных угроз. Криптография как средство защиты информации. Промышленный шпионаж.
реферат [111,7 K], добавлен 04.06.2013Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Понятие и принципы обеспечения информационной безопасности. Рассмотрение основных видов опасных воздействий на компьютерную систему. Классификация каналов несанкционированного доступа к ЭВМ. Характеристика аппаратно-программных средств защиты информации.
презентация [152,9 K], добавлен 15.11.2011Информационная безопасность, её цели и задачи. Каналы утечки информации. Программно-технические методы и средства защиты информации от несанкционированного доступа. Модель угроз безопасности информации, обрабатываемой на объекте вычислительной техники.
дипломная работа [839,2 K], добавлен 19.02.2017Влияние вида деятельности предприятия на организацию комплексной системы защиты информации. Состав защищаемой информации. Потенциальные каналы несанкционированного доступа к информации организации. Эффективность системы информационной безопасности.
отчет по практике [1,3 M], добавлен 31.10.2013
